Freemarker模板注入導(dǎo)致遠(yuǎn)程命令執(zhí)行, 遠(yuǎn)程攻擊者可利用該漏洞調(diào)用在系統(tǒng)上執(zhí)行任意命令。

JeecgBoot官方已修復(fù)，建議大家盡快升級(jí)至相關(guān)底層依賴和源碼

一、漏洞描述

Freemarker模板注入導(dǎo)致遠(yuǎn)程命令執(zhí)行, 遠(yuǎn)程攻擊者可利用該漏洞調(diào)用在系統(tǒng)上執(zhí)行任意命令。漏洞危害等級(jí)：高危

二、影響范圍

• minidao-spring-boot-starter 版本 < 1.9.2

• jimureport-spring-boot-starter 版本 < 1.6.1

• codegenerate 版本 < 1.4.4

• hibernate-re 版本 < 3.5.3

• jeewx-api 版本 < 1.5.2

• drag-free 版本 < 1.0.2

三、修復(fù)方案，升級(jí)依賴版本和源碼

目前該漏洞已經(jīng)修復(fù)，受影響用戶可升級(jí)到以下版本

• minidao-spring-boot-starter >= 1.9.2

• jimureport-spring-boot-starter >= 1.6.1

• codegenerate >= 1.4.4

• hibernate-re >= 3.5.3

• jeewx-api >= 1.5.2

• drag-free >=1.0.2

JeecgBoot修復(fù)PR：

• https://github.com/jeecgboot/jeecg-boot/commit/acb48179ab00e167747fa4a3e4fd3b94c78aeda5

• https://github.com/jeecgboot/jeecg-boot/commit/baf4b96b3fcffa183e19b87485f5fb8388bb36ae