Descripción de la vulnerabilidad
JeecgBoot es una plataforma de bajo código de nivel empresarial de código abierto que proporciona funciones de generación de código con un solo clic, como formularios, vistas y procesos. Actualmente tiene 35.500 estrellas en GitHub.
En la versión V3, dado que la cadena de conexión JDBC no está restringida, un atacante no autorizado puede configurar una cadena de conexión maliciosa y ejecutar código arbitrario de forma remota mediante el envío de una solicitud Http.
| Nombre de vulnerabilidad | Vulnerabilidad de ejecución de código arbitrario de Jeecg-boot JDBC |
|---|---|
| tipo de vulnerabilidad | inyección de código |
| Tiempo de descubrimiento | 2023/8/11 |
| nivel de vulnerabilidad | alto riesgo |
| Amplitud de vulnerabilidad | ancho |
| Aprovecha los permisos requeridos | No se requiere permiso |
| Dificultad de uso | Bajo |
| punto de contacto | inédito |
Proceso de recurrencia
Versión reproducida: jeecg-boot v3.5.3
Esfera de influencia
org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]
Plan de reparación
El funcionario aún no ha solucionado esta vulnerabilidad y se recomienda evitar la exposición directa de la aplicación al mundo exterior.
Acerca de Murphy Security
Inteligencia sobre vulnerabilidades y envenenamientos de día 0 de Murphy Security Enterprise Edition La
inteligencia sobre vulnerabilidades y envenenamientos de nivel empresarial de Murphy Security de día 0 se caracterizan por su integridad, exactitud, velocidad y precisión, lo que brinda a los clientes actualizaciones más rápidas, análisis más detallados e información precisa sobre toda la red Inteligencia garantizada push, así como una gran cantidad de información de inteligencia exclusiva, los clientes pueden usar la inteligencia en escenarios como respuesta de emergencia, análisis de componentes de software y detección de productos. Este producto ha servido a docenas de clientes empresariales como Ant y Meituan. Actualmente, las empresas pueden aplicar para prueba a través de los siguientes métodos:
https://murphysec.feishu.cn/share/base/form/shrcnUf2LcR1HuMkKab7yathocf
Sitio web oficial del producto:
https://murphysec.com
【Acerca de la seguridad de Murphy】
Murphy Security es una empresa de innovación tecnológica que se enfoca en productos de seguridad de la cadena de suministro de software. Los miembros principales del equipo son de Baidu, Huawei y Shell, y tienen más de diez años de experiencia en la construcción de seguridad empresarial y ataque y defensa. En la actualidad, ha servido a docenas de clientes de nivel empresarial como Ant, Xiaomi, Kuaishou, Meituan, Bank of China, China Mobile y China Telecom.
【Sobre el laboratorio de seguridad de Murphy】
Murphy Security Lab es un equipo de investigación de seguridad de Murphy Future Technology, que se centra en la investigación técnica en campos relacionados con la seguridad de la cadena de suministro de software. Las direcciones de interés incluyen: seguridad de software de código abierto, análisis de programas, análisis de inteligencia de amenazas, gobierno de seguridad empresarial, etc.