jeecgboot积木报表存在多个版本的漏洞,包括但不限于: SQL注入漏洞:影响JimuReport积木报表的多个版本,如v1.5.6等。漏洞允许攻击者通过构造恶意的SQL语句,操纵服务器的数据库,获取对数据库的完全控制权。 SSTI(服务器端模板注入)漏洞:同样影响JimuReport积木报表的多个版本,如通过/jmreport/queryFieldBySql接口利用Freema...
漏洞概述 JeecgBoot是适用于企业 Web 应用程序的国产Java低代码平台。 近期,网宿安全演武实验室监测到JeecgBoot JimuReport 1.7.8版本及之前版本存在安全漏洞(网宿评分:高危):该漏洞源于权限设置不安全,攻击者在请求中添加特定参数,即可绕过授权机制,从而查看敏感信息并通过 Aviator 表达式注入在1.6.0版本后实现远程...
1.JeecgBoot积木报表AviatorScript表达式注入漏洞复现2024-09-02 收起 漏洞信息 影响组件:JimuReport积木报表 影响版本:v1.6.0 < JimuReport ≤ 1.7.8 漏洞名称:AviatorScript表达式注入漏洞 漏洞链接:积木报表软件存在AviatorScript代码注入RCE漏洞 · Issue #2848 漏洞描述: 积木报表软件存在AviatorScript代码注入RCE漏...
漏洞描述JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。 JeecgBoot 受影响版本中,由于 jeecg-boot/jmreport/testConnection Api 接口未进行身份验证,并且未对 dbUrl 参数进行限制,…
## 漏洞简介 JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryFieldBySql Api接口未进行身份校验,使用 Freemarker 处理用户用户传入的 sql 参数,未经授权的攻击者可发送包含恶意 sql 参数的 http 请求,通过 SST
【墨菲安全实验室】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞JeecgBoot, 一款广受欢迎的开源低代码开发平台,其积木报表组件存在一个关键漏洞。在受影响的版本中(如:org.jeecgframework.jimureport:1.6.1 到 1.6.1, JeecgBoot 3.0 到 3.5.3, 等等),积木报表的/jeecg-boot/jmreport/...
版本号: v1.7.8 问题描述: 积木报表软件存在AviatorScript代码注入RCE漏洞 使用接口/jmreport/save处在text中写入AviatorScript表达式 访问/jmreport/show触发AviatorScript解析从而导致命令执行。 错误截图: 访问官网,创建报表,在报表表格中写入AviatorScript表达式
jeecg-boot-base/jeecg-boot-base-core pom.xml jeecg-boot-module-system pom.xml 2 changes: 1 addition & 1 deletion2jeecg-boot/jeecg-boot-base/jeecg-boot-base-core/pom.xml Original file line numberDiff line numberDiff line change Expand Up@@ -114,7 +114,7 @@ ...
JeecgBoot是适用于企业 Web 应用程序的国产Java低代码平台。 近期,网宿安全演武实验室监测到JeecgBoot JimuReport 1.7.8版本及之前版本存在安全漏洞(网宿评分:高危):该漏洞源于权限设置不安全,攻击者在请求中添加特定参数,即可绕过授权机制,从而查看敏感信息并通过 Aviator 表达式注入在1.6.0版本后实现远程代码执行。
漏洞描述JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。 JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryFieldBySql Api 接口未进行身份校验,使用 Freemarker 处理…