JeecgBoot passwordChange 任意用户密码重置漏洞复现
0x01 产品简介
Jeecg Boot是一个企业级低代码开发平台,基于前后端分离的架构,融合了SpringBoot、SpringCloud、Ant Design、Vue、Mybatis-plus、Shiro、JWT等多种主流技术,旨在帮助企业快速构建各种应用系统,提高开发效率,降低开发成本。采用最新主流的前后分离框架,使得开发更加灵活,易于维护和扩展。而且拥有强大的代码生成器,可以一键生成前后端代码,极大地提高了开发效率。同时,代码生成器还提供了自定义模板风格的功能,满足不同项目的需求。可以应用在任何J2EE项目的开发中,尤其适合SAAS项目、企业信息管理系统(MIS)、内部办公系统(OA)、企业资源计划系统(ERP)、客户关系管理系统(CRM)等。
0x02 漏洞概述
JeecgBoot 框架passwordChange接口存在任意用户密码重置漏洞,未经身份验证的远程攻击者可以利用此漏洞重置管理员账户密码,从而接管系统后台,造成信息泄露,导致系统处于极不安全的状态。