W komponentach Jeecg Boot w wersjach od v3.0.0 do v3.5.3 wykryto podatność typu command injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu. Podatność jest krytyczna ze względu na brak wymagań dotyczących uwierzytelnienia i pełny wpływ na poufność, integralność oraz dostępność systemu.
▸ Pokaż oryginał (EN)
A command injection vulnerability in the component /jmreport/show of jeecg boot v3.0.0 to v3.5.3 allows attackers to execute arbitrary code via a crafted HTTP request.
Podatność znajduje się w endpointcie /jmreport/show dostępnym przez sieć. Atakujący może wysłać spreparowane żądanie HTTP zawierające złośliwy payload, który jest przekazywany do interpretera poleceń systemowych bez odpowiedniej walidacji ani sanityzacji danych wejściowych (CWE-77 — improper neutralization of special elements used in a command). W wyniku tego wykonywane są arbitralne polecenia systemowe z uprawnieniami procesu aplikacji.
Atakujący bez żadnego uwierzytelnienia może zdalnie wykonać dowolny kod na serwerze, co prowadzi do pełnego przejęcia kontroli nad systemem, wycieku danych oraz możliwości zakłócenia działania aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się pilną aktualizację do wersji nowszej niż v3.5.3 oraz — do czasu aktualizacji — ograniczenie dostępu do endpointu /jmreport/show na poziomie firewall lub reverse proxy, szczególnie dla nieuwierzytelnionych użytkowników.
Jeecg Boot w wersjach od v3.0.0 do v3.5.3
Dostępny jest publiczny proof-of-concept exploit opublikowany w serwisie GitHub (gist.github.com/aqyoung). Mimo braku wpisu w CISA KEV, istnienie publicznego PoC istotnie podnosi ryzyko aktywnego wykorzystania podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HJeecg Boot
APPJeecg3.0 – 3.5.3
Powiązane podatności
Injection/RCE w Jeecg Boot 3.0.0–3.5.3 przez niedostateczne filtrowanie znaków
SQL Injection w JeecgBoot przez endpoint getTotalData
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych
RCE poprzez SSTI injection w Jeecg Boot — komponent /jmreport/loadTableData