漏洞描述 JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。 JeecgBoot 受影响版本中,由于 jeecg-boot/jmreport/testConnection Api 接口未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。 漏洞名称...
JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。 JeecgBoot 受影响版本中,由于jeecg-boot/jmreport/testConnection Api接口未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的http请求远程执行任意代码。 参考链接:https://www.os...
根据公开信息,JeecgBoot 积木报表的 testConnection 接口在某些版本中确实存在 JDBC 远程代码执行的漏洞。漏洞的具体原因包括: 未对dbUrl 参数进行限制,允许攻击者输入任意 JDBC URL。 当应用端存在 H2 数据库驱动依赖时,攻击者可以通过构造包含恶意代码的 JDBC URL 来执行任意代码。 受影响的版本范围包括 JeecgBoot ...
JeecgBoot的/jmreport/testConnection接口未进行身份验证,未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。 FOFA搜索语句 title=="JeecgBoot 企业级低代码平台" || body="window._CONFIG['imgDomainURL'] = 'http://localhost:8080/jeecg-b...
4.先进JAVA项目nbcio-boot根路径 maven打包 mvn clean package 5.访问后台项目(注意要开启swagger) http://localhost:8080/nbcio-boot/doc.html 开源的主要功能 1、基于flowable 6.7.2 的工作流管理: 包括流程设计、表单定义、流程发起、流程流转和消息提醒等功能,同时支持自定义业务的流程定义与流转。
4.先进JAVA项目nbcio-boot根路径 maven打包 mvn clean package 5.访问后台项目(注意要开启swagger) http://localhost:8080/nbcio-boot/doc.html 增加的主要功能 1、基于flowable 6.7.2 的工作流管理: 包括流程设计、表单定义、流程发起、流程流转和消息提醒等功能,同时支持自定义业务的流程定义与流转。
4.先进JAVA项目nbcio-boot根路径 maven打包 mvn clean package 5.访问后台项目(注意要开启swagger) http://localhost:8080/nbcio-boot/doc.html 增加的主要功能 1、基于flowable 6.7.2 的工作流管理: 包括流程设计、表单定义、流程发起、流程流转和消息提醒等功能,同时支持自定义业务的流程定义与流转。