接着根据漏洞情报(https://github.com/jeecgboot/JimuReport/issues/2848),可定位至/jeecg-boot/jmreport/save和/jeecg-boot/jmreport/show两个接口。 对应函数分别为: org.jeecg.modules.jmreport.desreport.service.a.e#saveReport() org.jeecg.modules.jmreport.desreport.service.a.e#show() 前者的作用是...
接着根据漏洞情报(https://github.com/jeecgboot/JimuReport/issues/2848),可定位至/jeecg-boot/jmreport/save和/jeecg-boot/jmreport/show两个接口。 对应函数分别为: org.jeecg.modules.jmreport.desreport.service.a.e#saveReport()org.jeecg.modules.jmreport.desreport.service.a.e#show() 前者的作用是将...
JeecgBoot save 表达式注入漏洞 2024-11-14 15:43:45 JeecgBoot /jmreport/testConnection 任意文件读取漏洞(CVE-2023-41578) 2023-09-08 19:15:00 jeecg-boot SQL注入漏洞(CVE-2023-38992) 2023-07-28 15:15:00 JeecgBoot SQL注入漏洞(CVE-2023-34603) ...
使用接口/jmreport/save处在text中写入AviatorScript表达式访问/jmreport/show触发AviatorScript解析从而导致命令执行。 漏洞复现 环境搭建 使用积木报表v1.7.8复现,下载链接:Release v1.7.8 · jeecgboot/JimuReport 用idea打开,使用maven下载依赖之后,运行com.jeecg.modules.JimuReportApplication 访问http://192.168.171...
#与JeecgBoot集成步骤 第一步: 集成依赖 jar 修改jeecg-boot-module-system/pom.xml 加入下面的依赖 <dependency> <groupId>org.jeecgframework.boot</groupId> <artifactId>jimureport</artifactId> <version>1.0.2-beta</version> </dependency> 1. ...
yaml配置说明 jeecg : jmreport: #多租户模式,默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2+ 新增) saasMode: #预览分页自定义 pageSize: - 10 - 20 - 30 - 40 #打印纸张自定义 printPaper: - title: A5纸 size: - 148 - 210 - title: B4纸 size: - 250 - 353 #接口...
jmreport: mode: dev #是否需要校验token is_verify_token: false #必须校验方法 verify_methods: remove,delete,save,add,update 第四步: 角色授权菜单,就可以看到报表设计菜单 第五步: shiro权限排除 修改类 org.jeecg.config.shiro.ShiroConfig 加入代码 ...
/jmreport/queryFieldBySql接口是JeecgBoot积木报表组件中的一个API,用于根据传入的SQL语句查询数据库并返回结果。它允许用户动态地构建SQL查询语句,以获取所需的数据字段。 理解SSTI(服务器端模板注入)的基本概念: SSTI(服务器端模板注入)是一种安全漏洞,攻击者通过在用户输入中注入恶意模板代码,使服务器执行恶意代...
jmreport: mode: dev #是否需要校验token is_verify_token: false #必须校验方法 verify_methods: remove,delete,save,add,update 第四步: 角色授权菜单,就可以看到报表设计菜单 第五步: shiro权限排除 修改类 org.jeecg.config.shiro.ShiroConfig 加入代码 ...
JeecgBoot passwordChange 任意用户密码重置漏洞 2024-12-17 15:48:30 JeecgBoot save 表达式注入漏洞 2024-11-14 15:43:45 JeecgBoot /jmreport/show SQL注入漏洞(CVE-2023-42268) 2023-09-08 19:15:00 JeecgBoot /jmreport/testConnection 任意文件读取漏洞(CVE-2023-41578) ...