CRITICAL🇬🇧 English

CVE-2024-48307

SQL Injection w JeecgBoot przez endpoint getTotalData

CVSS 9.8v3.1pub. 2024-10-31upd. 2025-06-27

W aplikacji JeecgBoot v3.7.1 wykryto podatność typu SQL injection w komponencie /onlDragDatasetHead/getTotalData. Luka posiada ocenę CVSS 9.8 (Critical) i umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych.

Pokaż oryginał (EN)

JeecgBoot v3.7.1 was discovered to contain a SQL injection vulnerability via the component /onlDragDatasetHead/getTotalData.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do komponentu /onlDragDatasetHead/getTotalData. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio do zapytania wykonywanego przez aplikację. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), exploit może być przeprowadzony zdalnie przez dowolną osobę z dostępem do aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych w bazie danych, zmodyfikować lub usunąć jej zawartość, a w określonych konfiguracjach serwera baz danych potencjalnie przejąć kontrolę nad systemem (RCE).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu pod adresem https://github.com/jeecgboot/JeecgBoot w celu uzyskania aktualnej poprawki. Jako środek tymczasowy warto rozważyć ograniczenie dostępu do podatnego endpointu na poziomie firewall lub reverse proxy.

Kogo dotyczy

JeecgBoot w wersji 3.7.1

Uwagi

Podatność została zgłoszona poprzez publiczny issue tracker projektu (issue #7237 w repozytorium GitHub). Szczegóły techniczne są publicznie dostępne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Jeecg Boot

    APP
    Jeecg
    3.7.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-43028CRITICAL9.8PL ✓ten sam produkt

Command injection w Jeecg Boot — zdalne wykonanie kodu przez /jmreport/show

CVE-2024-40489CRITICAL9.8PL ✓ten sam produkt

Injection/RCE w Jeecg Boot 3.0.0–3.5.3 przez niedostateczne filtrowanie znaków

CVE-2023-41543CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych

CVE-2023-41542CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych

CVE-2023-41544CRITICAL9.8PL ✓ten sam produkt

RCE poprzez SSTI injection w Jeecg Boot — komponent /jmreport/loadTableData