JEECG jeecgFormDemoController接口存在任意代码执行漏洞(CVE-2023-49442)
CVE编号
CVE-2023-49442利用情况
暂无补丁情况
N/A披露时间
2024-01-04漏洞描述
JEECG(J2EE Code Generation) 是开源的代码生成平台,最新 4.0 版本发布于 2019年8月5日,目前已停止维护。 JEECG 4.0及之前版本中,由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 ../ 的url绕过鉴权。因为依赖 1.2.31 版本的 fastjson,该版本存在反序列化漏洞。攻击者可对 /api/../jeecgFormDemoController.do?interfaceTest 接口进行 jndi 注入攻击实现远程代码执行。解决建议
"官方已停止维护,建议使用 org.jeecgframework.boot:jeecg-boot-parent 组件替换"
参考链接 |
|
|---|---|
| https://lemono.fun/thoughts/JEECG-RCE.html |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论