W aplikacji JeecgBoot v3.7.1 wykryto podatność typu SQL injection w komponencie /onlDragDatasetHead/getTotalData. Luka posiada ocenę CVSS 9.8 (Critical) i umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych.
▸ Pokaż oryginał (EN)
JeecgBoot v3.7.1 was discovered to contain a SQL injection vulnerability via the component /onlDragDatasetHead/getTotalData.
Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do komponentu /onlDragDatasetHead/getTotalData. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego przez aplikację. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), exploit może być przeprowadzony zdalnie przez dowolną osobę z dostępem do aplikacji.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych w bazie danych, zmodyfikować lub usunąć jej zawartość, a w określonych konfiguracjach serwera baz danych potencjalnie przejąć kontrolę nad systemem (RCE).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu pod adresem https://github.com/jeecgboot/JeecgBoot w celu uzyskania aktualnej poprawki. Jako środek tymczasowy warto rozważyć ograniczenie dostępu do podatnego endpointu na poziomie firewall lub reverse proxy.
JeecgBoot w wersji 3.7.1
Podatność została zgłoszona poprzez publiczny issue tracker projektu (issue #7237 w repozytorium GitHub). Szczegóły techniczne są publicznie dostępne.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HJeecg Boot
APPJeecg3.7.1
Powiązane podatności
Command injection w Jeecg Boot — zdalne wykonanie kodu przez /jmreport/show
Injection/RCE w Jeecg Boot 3.0.0–3.5.3 przez niedostateczne filtrowanie znaków
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych
RCE poprzez SSTI injection w Jeecg Boot — komponent /jmreport/loadTableData