当前位置: 首页 > news >正文

JeecgBoot jmreport/queryFieldBySql RCE漏洞复现

news 2025/7/7 13:42:20

0x01 产品简介

Jeecg Boot(或者称为 Jeecg-Boot)是一款基于代码生成器的开源企业级快速开发平台,专注于开发后台管理系统、企业信息管理系统(MIS)等应用。它提供了一系列工具和模板,帮助开发者快速构建和部署现代化的 Web 应用程序。

0x02 漏洞概述

Jeecg Boot jmreport/queryFieldBySql接口存在Freemarker 模板注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。

0x03 复现环境

FOFA:

title=="JeecgBoot 企业级低代码平台" || body="window._CONFIG['imgDomainURL'] = 'http://localhost:8080/jeecg-boot/" || title="Jeecg-Boot 企业级快速开发平台" || title="Jeecg 快速开发平台" || body="'http://fileview.jeecg.com/onlinePreview'" || title=="JeecgBoot 企业级低代码平台" || title=="Jeecg-Boot 企业级快速开发平台" || title=="JeecgBoot 企业级快速开发平台" || title=="JeecgBoot 企业级快速开发平台" || title="Jeecg 快速开发平台" || title="Jeecg-Boot 快速开发平台" || body="积木报表"
http://www.lryc.cn/news/261640.html

相关文章:

  • 机器学习---模型评估
  • 【机器学习】应用KNN实现鸢尾花种类预测
  • ACL和NAT
  • MX6ULL学习笔记(十二)Linux 自带的 LED 灯
  • Qt容器QToolBox工具箱
  • 华为实训课笔记
  • 基于java 的经济开发区管理系统设计与实现(源码+调试)
  • 外包干了3个月,技术退步明显。。。
  • 详细教程 - 从零开发 Vue 鸿蒙harmonyOS应用 第一节
  • R语言对医学中的自然语言(NLP)进行机器学习处理(1)
  • 什么是CI/CD?如何在PHP项目中实施CI/CD?
  • 玩转Docker(四):容器指令、生命周期、资源限制、容器化支持、常用命令
  • 回归预测 | MATLAB实现CHOA-BiLSTM黑猩猩优化算法优化双向长短期记忆网络回归预测 (多指标,多图)
  • Qt/C++视频监控安卓版/多通道显示视频画面/录像存储/视频播放安卓版/ffmpeg安卓
  • 【docker】容器使用(Nginx 示例)
  • 【QT】时间日期与定时器
  • 蓝桥杯专题-真题版含答案-【古代赌局】【古堡算式】【微生物增殖】【密码发生器】
  • 和鲸科技携手深圳数据交易所,“数据+数据开发者生态”赋能人工智能产业发展
  • 在MFC(Microsoft Foundation Classes)中 CreateThread函数
  • Ubuntu 常用命令之 ls 命令用法介绍
  • 【解决】Windows 11检测提示电脑不支持 TPM 2.0(注意从DTPM改为PTT)
  • ChatGPT 也宕机了?如何预防 DDOS 攻击的发生
  • wireshark下载安装
  • 如何退回chrome旧版ui界面?关闭Chrome浏览器新 UI 界面
  • 指针进阶篇
  • C语言之单链表理解与应用
  • SpringBoot对PDF进行模板内容填充、电子签名合并
  • Vue3快速上手笔记
  • LLM中的Prompt提示
  • 【算法Hot100系列】最长回文子串