北京赛克艾威科技有限公司 2024-09-11
JimuReport 是一款类似excel操作风格、在线拖拽式的报表工具。 受影响版本中,由于 org.jeecg.modules.jmreport.desreport.service.a.f\#isShareingToken 方法校验 token 时当查询结果为空返回 true,未授权的攻击者可利用该漏洞通过 /jmreport/dict/list 接口发送 shareToken 参数为空的请求绕过权限校验,获取报表字典记录信息。
1. 将组件 org.jeecgframework.jimureport:jimureport-spring-boot-starter 升级至 1.8.0 及以上版本 2. 将组件 org.jeecgframework.jimureport:jimureport-spring-boot3-starter-fastjson2 升级至 1.8.0 及以上版本
https://www.oscs1024.com/hd/MPS-lij4-9o80
https://nvd.nist.gov/vuln/detail/CVE-2024-44893
https://github.com/jeecgboot/JimuReport/issues/2904