北京国炬信息技术有限公司

  • 首页
  • 产品方案
    • 低代码平台
    • 流程设计器
    • 微服务方案
    • 表单设计器
    • 大屏设计器
    • 报表设计器
    • 流程数据中台
    • 移动APP方案
  • 新闻动态
    • 公司动态
    • 技术博客
    • 学习视频
  • 关于我们
    • 公司简介
    • 发展历程
    • 公司荣誉
    • 联系我们
  • 人才招聘
首页 > 新闻动态 > 公司动态

【漏洞通知】JeecgBoot 修复SQL注入风险, 漏洞危害等级:高危

作者:admin 发布时间:2023-10-20 点击数:

表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。

JeecgBoot官方已修复,建议大家尽快升级源码,新旧版本都可以参考此方案修复!

一、漏洞描述

表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。漏洞危害等级:高危

二、影响范围

  • jeecgboot 版本 < 3.5.4

三、修复方案

参考 此次漏洞修复PR 合并源码,不兼容的请自行调整。

修改内容

  • 重点针对表名和字段进行单独check处理,更严格的格式要求,可能会导致一些特殊字典用法出问题,请根据自己业务做灵活调整。
  • 后期规划 “准备将字典表的黑名单改成白名单,只有在白名单中配置的表才允许通过表字典的方式查询数据”
加入收藏
上一篇:零代码产品新秀敲敲云与明星产品简道云、轻流对比
下一篇:JimuReport v1.6.1版本发布,修复 Freem
返回列表

随便看看

  • Jeecgboot-Vue3 v1.2.0 版本正式发布,企业级低代码平台
  • 微信公众号开发平台JeeWx 1.0发布
  • 制作报表原来可以这么简单—积木报表使用分享
  • JeecgBoot 3.4.3 版本发布,低代码功能专项升级
  • JeecgBoot低代码平台 v3.7.4 发布,后台架构大升级
  • 智能开发平台JEECG 3.3.1 beta 发布
  • 【DeepSeek版】JeecgBoot低代码 3.7.3 发布,集成DeepSeek实现AI编程
  • 【漏洞修复通知】修复Apache Shiro认证绕过漏洞,漏洞编号:CVE-2023-34478,漏洞危害等级:高危
  • 【高危安全通告】fastjson≤1.2.80反序列化漏洞
  • JeecgBoot低代码平台 2.4.5 版本发布,钉钉与企业微信集成版本

  • 公司产品
  • JeecgBoot低代码平台
  • 敲敲云零代码
  • 大屏设计器
  • 流程设计器
  • 表单设计器
  • 源码下载
  • JeecgBoot低代码平台
  • 积木报表平台
  • 移动开发平台
  • 微信管家平台
  • 更多信息
  • JEECG官方论坛
  • JEECG插件市场
  • 仪表盘设计器
  • 积木报表官网
  • 联系我们
  • 中国·北京·朝阳区科荟前街1号院奥林佳泰大厦9层
  • 商务QQ: 69893005、418799587
  • 商务热线: 010-64808099(5*8小时)
  • 项目外包: 18611788525(5*8小时)
  • 扫码关注我们
Copyright © 2015 北京国炬软件 All Rights Reserved Powered by JEECG 京ICP备2023027727号