漏洞通告|Jeecg Boot SQL注入漏洞
漏洞通告|Jeecg Boot SQL注入漏洞
原创 漏洞团队 微步在线研究响应中心 2023-09-14 16:38
01 漏洞概况****
Jeecg Boot是一款基于代码生成器的低代码开发平台,可以帮助解决Java项目的重复工作,提高企业应用开发效率,让开发更多关注业务逻辑。近日,微步漏洞团队监测到Jeecg Boot修复了一处SQL注入漏洞。Jeecg Boot v3.5.3及以下版本 jmreport 模块的 /show 接口存在 SQL注入漏洞,攻击者可以通过布尔盲注绕过黑名单检测,从数据库中获取敏感信息。经过分析和研判,该漏洞利于难度低,可导致数据库敏感信息泄漏,建议尽快修复。
02 漏洞处置优先级(VPT)
综合处置优先级:
高
|
漏洞编号 |
微步编号 |
XVE-2023-27421
|
|
漏洞评估 |
危害评级 |
高危 |
|
漏洞类型 |
SQL注入
|
|
|
公开程度 |
PoC已公开 |
|
|
利用条件 |
无权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
微步已捕获攻击行为 |
暂无 |
|
影响产品 |
产品名称 |
Jeecg Boot
|
|
受影响版本 |
version <= 3.5.3
|
|
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |