| 漏洞类型 | 反序列化 | 发现时间 | 2024-01-04 | 漏洞等级 | 严重 |
| MPS编号 | MPS-o8a2-7rik | CVE编号 | CVE-2023-49442 | 漏洞影响广度 | 小 |
漏洞危害
| OSCS 描述 |
| JEECG(J2EE Code Generation) 是开源的代码生成平台,最新 4.0 版本发布于 2019年8月5日,目前已停止维护。 JEECG 4.0及之前版本中,由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 ../ 的url绕过鉴权。因为依赖 1.2.31 版本的 fastjson,该版本存在反序列化漏洞。攻击者可对 /api/../jeecgFormDemoController.do?interfaceTest 接口进行 jndi 注入攻击实现远程代码执行。 参考链接:https://www.oscs1024.com/hd/MPS-o8a2-7rik |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.jeecgframework:jeecg (-∞, 4.0] | 替换组件 | 官方已停止维护,建议使用 org.jeecgframework.boot:jeecg-boot-parent 组件替换 |
| 参考链接:https://www.oscs1024.com/hd/MPS-o8a2-7rik | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-o8a2-7rik
