2024年9月12日,网上更新披露了一个JimuReport<1.8.0 存在权限绕过漏洞( CVE-2024-44893)。
JimuReport 是一款类似excel操作风格、在线拖拽式的报表工具。
漏洞风险:受影响版本中,由于 org.jeecg.modules.jmreport.desreport.service.a.f#isShareingToken 方法校验 token 时当查询结果为空返回 true,未授权的攻击者可利用该漏洞通过 /jmreport/dict/list 接口发送 shareToken 参数为空的请求绕过权限校验,获取报表字典记录信息。
影响范围:JimuReport<1.8.0
修复建议:
1. 将组件 org.jeecgframework.jimureport:jimureport-spring-boot-starter 升级至 1.8.0 及以上版本。
2. 将组件 org.jeecgframework.jimureport:jimureport-spring-boot3-starter-fastjson2 升级至 1.8.0 及以上版本。
进行安全更新方法:
1. https://www.oscs1024.com/hd/MPS-lij4-9o80
2. https://nvd.nist.gov/vuln/detail/CVE-2024-44893
3. https://github.com/jeecgboot/JimuReport/issues/2904
4. https://github.com/jeecgboot/JimuReport/issues/2865
