一、漏洞概述
近日,绿盟科技CERT监测发现网上公开披露了Jeecg-Boot SQL注入漏洞(CVE-2023-1454)的PoC,由于Jeecg-Boot对特殊字符的过滤存在缺陷,未经身份验证的远程攻击者通过构造特制的字符串,最终可获取目标数据库中的敏感信息,请受影响的用户尽快采取措施进行防护。
Jeecg-Boot是一款基于Spring Boot和Jeecg-Boot-Plus的快速开发平台,它提供了一系列的代码生成器、模板引擎、权限管理、数据字典、数据导入导出等功能,可以帮助开发者快速构建企业级应用。
参考链接:
http://www.jeecg.com/
二、影响范围
受影响范围
- Jeecg-Boot = v3.5.0
三、漏洞防护
- 官方升级
目前官方暂未发布安全版本修复该漏洞,请用户及时关注官网最新版本的发布情况,官网链接:http://www.jeecg.com/
- 临时缓解措施
在不影响业务的情况下,用户可通过以下措施来规避该漏洞:
- 将系统部署到内网使用
- 设置白名单,允许受信任的IP对系统进行访问
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。