Description de la vulnérabilité
JeecgBoot est une plate-forme low-code open source de niveau entreprise qui fournit des fonctions de génération de code en un clic telles que des formulaires, des vues et des processus. Il compte actuellement 35,5 000 étoiles sur GitHub.
Dans la version V3, la chaîne de connexion JDBC n'étant pas restreinte, un attaquant non autorisé peut configurer une chaîne de connexion illicite et exécuter du code arbitraire à distance en envoyant une requête Http.
Nom de la vulnérabilité | Vulnérabilité d'exécution de code arbitraire JDBC dans Jeecg-boot |
---|---|
Type de vulnérabilité | injection de code |
L'heure de la découverte | 2023/8/11 |
niveau de vulnérabilité | risque élevé |
Étendue de la vulnérabilité | large |
Profitez des autorisations requises | Aucune autorisation requise |
Difficulté d'utilisation | Faible |
COP | inédit |
Processus de récurrence
Version reproduite : jeecg-boot v3.5.3
Sphère d'influence
org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]
Programme de réparation
L'officiel n'a pas encore corrigé cette vulnérabilité, et il est recommandé d'éviter l'exposition directe de l'application au monde extérieur.
À propos de Murphy Security
Murphy Security Enterprise Edition Vulnérabilité 0day et intelligence d'empoisonnement
Murphy Security Enterprise-level Vulnérabilité 0day et intelligence d'empoisonnement se caractérisent par l'exhaustivité, l'exactitude, la rapidité et la précision, offrant aux clients des mises à jour plus rapides, une analyse plus détaillée et des informations précises sur l'ensemble du réseau Intelligence garantie push, ainsi qu'une grande quantité d'informations de renseignement exclusives, les clients peuvent utiliser l'intelligence pour les interventions d'urgence, l'analyse de composants logiciels, la détection de produits et d'autres scénarios.Ce produit a servi des dizaines d'entreprises clientes telles que Ant et Meituan.Actuellement, les entreprises peuvent postuler pour essai via les méthodes suivantes :
https://murphysec.feishu.cn/share/base/form/shrcnUf2LcR1HuMkKab7yathocf
Site officiel du produit :
https://murphysec.com
【À propos de la sécurité Murphy】
Murphy Security est une société d'innovation technologique spécialisée dans les produits de sécurité de la chaîne d'approvisionnement logicielle. Les principaux membres de l'équipe sont issus de Baidu, Huawei et Shell. Ils ont plus de dix ans d'expérience dans la construction de la sécurité d'entreprise, l'attaque et la défense. À l'heure actuelle, il a servi des dizaines de clients au niveau de l'entreprise tels que Ant, Xiaomi, Kuaishou, Meituan, Bank of China, China Mobile et China Telecom.
【À propos du laboratoire de sécurité Murphy】
Murphy Security Lab est une équipe de recherche en sécurité sous Murphy Future Technology, qui se concentre sur la recherche technique dans les domaines de la sécurité de la chaîne d'approvisionnement logicielle.