W JeecgBoot do wersji 3.9.0 zidentyfikowano podatność w funkcji SysUserOnlineController pliku jeecg-boot/jeecg-module-system/jeecg-system-biz/src/main/java/org/jeecg/modules/system/controller/SysUserOnlineController.java, która umożliwia zdalne manipulowanie sesjami użytkowników. Exploit został upubliczniony i może być aktywnie wykorzystywany. Zaleca się zastosowanie patcha b686f9fbd1917edffe5922c6362c817a9361cfbd w celu rozwiązania problemu.
▸ Pokaż oryginał (EN)
A weakness has been identified in JeecgBoot up to 3.9.0. The impacted element is the function SysUserOnlineController of the file jeecg-boot/jeecg-module-system/jeecg-system-biz/src/main/java/org/jeecg/modules/system/controller/SysUserOnlineController.java. Executing manipulation can lead to manage user sessions. The attack can be launched remotely. The exploit has been made available to the public and could be exploited. This patch is called b686f9fbd1917edffe5922c6362c817a9361cfbd. Applying a patch is advised to resolve this issue.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XJeecg Boot
APPJeecg≤ 3.9.0
Powiązane podatności
Injection/RCE w Jeecg Boot 3.0.0–3.5.3 przez niedostateczne filtrowanie znaków
Command injection w Jeecg Boot — zdalne wykonanie kodu przez /jmreport/show
SQL Injection w JeecgBoot przez endpoint getTotalData
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych
SQL Injection w Jeecg Boot — eskalacja uprawnień i wyciek danych