2024年1月10日,网上公开披露了一个标注为反序列化的JEECG jeecgFormDemoController接口存在任意代码执行漏洞(CVE-2023-49442),JEECG(J2EE Code Generation)是开源的代码生成平台,最新4.0版本发布于2019年8月5日,目前已停止维护,请各位用户尽快排查处理风险点。
漏洞风险: JEECG 4.0及之前版本中,由于/api接口鉴权时未过滤路径遍历,攻击者可构造包含../的url绕过鉴权。因为依赖1.2.31版本的fastjson,该版本存在反序列化漏洞。攻击者可对/api/../jeecgFormDemoController.do?interfaceTest接口进行jndi注入攻击实现远程代码执行。
风险等级:高风险。
影响范围:
org.jeecgframework:jeecg@(-∞, 4.0]
修复建议:官方已停止维护,建议使用 org.jeecgframework.boot:jeecg-boot-parent 组件替换
进行安全更新方法:
https://lemono.fun/thoughts/JEECG-RCE.html
