Podatność typu SSTI (Server-Side Template Injection) w Jeecg Boot 3.5.3 umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu na serwerze. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest wyjątkowo łatwa do wykorzystania.
▸ Pokaż oryginał (EN)
SSTI injection vulnerability in jeecg-boot version 3.5.3, allows remote attackers to execute arbitrary code via crafted HTTP request to the /jmreport/loadTableData component.
Atakujący wysyła spreparowane żądanie HTTP do endpointu /jmreport/loadTableData, wstrzykując złośliwy payload do szablonu przetwarzanego po stronie serwera. Silnik szablonów interpretuje przekazane dane jako kod i wykonuje je w kontekście serwera. Mechanizm ten odpowiada klasyfikacji CWE-94 (Improper Control of Generation of Code), gdzie dane wejściowe użytkownika są nieprawidłowo neutralizowane przed przekazaniem do interpretera szablonów.
Atakujący może zdalnie wykonać dowolny kod na serwerze (RCE) bez żadnego uwierzytelnienia, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz naruszenia integralności i dostępności usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do endpointu /jmreport/loadTableData wyłącznie do zaufanych źródeł, jeśli natychmiastowa aktualizacja nie jest możliwa.
Jeecg Boot w wersji 3.5.3
Szczegółowy opis techniczny podatności oraz proof-of-concept zostały opublikowane przez badacza pho3n1x-web w dniu 18 września 2023 r. pod adresem: https://pho3n1x-web.github.io/2023/09/18/CVE-2023-41544%28JeecgBoot_SSTI%29/
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HJeecg Boot
APPJeecg≤ 3.5.3
Powiązane podatności
Injection/RCE w Jeecg Boot 3.0.0–3.5.3 przez niedostateczne filtrowanie znaków
Command injection w Jeecg Boot — zdalne wykonanie kodu przez /jmreport/show
SQL Injection w JeecgBoot przez endpoint getTotalData
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych