脆弱性の説明
JeecgBoot は、フォーム、ビュー、プロセスなどのワンクリック コード生成機能を提供するオープン ソースのエンタープライズ レベルのローコード プラットフォームで、現在 GitHub に 35,500 個のスターが付いています。
V3 バージョンでは、JDBC 接続文字列が制限されていないため、不正な攻撃者が Http リクエストを送信することで悪意のある接続文字列を設定し、リモートから任意のコードを実行する可能性があります。
| 脆弱性名 | Jeecg-boot JDBC の任意のコード実行の脆弱性 |
|---|---|
| 脆弱性の種類 | コードインジェクション |
| 発見時間 | 2023/8/11 |
| 脆弱性レベル | リスクが高い |
| 脆弱性の範囲 | 広い |
| 必要な権限を活用する | 許可は必要ありません |
| 使いにくさ | 低い |
| POC | 未公開 |
再発プロセス
再生産バージョン:jeecg-boot v3.5.3
影響範囲
org.jeecgframework.boot:jeecg-boot-parent@[3.0, 3.5.3]
修理計画
公式はこの脆弱性をまだ修正していないため、アプリケーションを外部に直接公開しないことが推奨されます。
マーフィーセキュリティについて
Murphy Security Enterprise Edition のゼロデイ脆弱性およびポイズニング インテリジェンス
Murphy Security のエンタープライズ レベルのゼロデイ脆弱性およびポイズニング インテリジェンスは、完全性、正確性、速度、正確性を特徴としており、より迅速なアップデート、より詳細な分析、およびネットワーク全体に関する正確な情報を顧客に提供します。プッシュだけでなく、大量の独自のインテリジェンス情報も提供するため、顧客はそのインテリジェンスを緊急対応、ソフトウェア コンポーネント分析、製品検出などのシナリオに使用できます。この製品は、Ant や Meituan などの数十の企業顧客に提供されています。現在、企業は申請できます。次の方法で試用できます:
https://murphysec.feishu.cn/share/base/form/shrcnUf2LcR1HuMkKab7yathocf
製品公式サイト:
https: //murphysec.com
【マーフィーセーフティについて】
Murphy Security は、ソフトウェア サプライ チェーンのセキュリティ製品に焦点を当てた技術革新企業です。チームの中心メンバーは Baidu、Huawei、Shell の出身であり、エンタープライズ セキュリティの構築と攻撃と防御において 10 年以上の経験があります。現在、Ant、Xiaomi、Kuaishou、Meituan、中国銀行、China Mobile、China Telecom など、数十の企業レベルの顧客にサービスを提供しています。
【マーフィーセキュリティラボについて】
Murphy Security Lab は、Murphy Future Technology 傘下のセキュリティ研究チームであり、ソフトウェア サプライ チェーンのセキュリティ分野の技術研究に重点を置いています。