JeePlus快速开发平台 多处 SQL注入漏洞复现

0x01 产品简介

JeePlus(洁普斯)是一个软件快速开发平台,使用多种现代Web技术,包括Spring Cloud/Spring Boot、MyBatis Plus、Spring Security、Redis、Vue3、Element Plus等。该平台支持多种数据库,如MySQL、Oracle、sqlserver、postgresql等。JeePlus采用标准的SOA架构,依托优秀的前台富客户端框架(如Extjs4.2)实现展示层的MVC(Model View Controller)再分层。它还利用内部升级版的SSH2应用框架和独有的DynaBean数据处理模式,使SQL执行更快更灵活。此外,JeePlus是一个低代码开发平台,解决了开发中大量的重复工作,让开发者更多聚焦业务逻辑,快速开发和部署现代Web应用程序+微服务架构。通过使用JeePlus,可以设计数据库表、配置表单模型、生成代码、一键生成菜单等,从而实现自动建表,根据表生成对应的Domain/DTO、Service、Mapper、Controller、Vue等,支持增删改查/排序/导出导入Excel/权限控制/功能生成直接使用等功能。同时,JeePlus还支持多租户技术,保证系统共性的部分被共享,个性的部分被单独隔离。

0x02 漏洞概述

JeePlus快速开发平台 resetPassword、registerUser等接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:app="JeePlus"<

你可能感兴趣的:(漏洞复现,sql,web安全,安全)