JeecgBoot 权限绕过致AviatorScript表达式注入漏洞复现
0x01 产品简介
Jeecg Boot(或者称为 Jeecg-Boot)是一款基于代码生成器的开源企业级快速开发平台,专注于开发后台管理系统、企业信息管理系统(MIS)等应用。它提供了一系列工具和模板,帮助开发者快速构建和部署现代化的 Web 应用程序。
0x02 漏洞概述
JeecgBoot 存在权限绕过漏洞,未经身份验证的远程攻击者可构造jmLink、sharetoken参数或JmReport-Share-Token请求头绕过权限认证访问后台接口,进一步深入利用可实现远程代码执行、木马植入,导致服务器失陷等问题。
0x03 影响范围
version < 1.8.0
0x04 复现环境
FOFA:
title=="JeecgBoot 企业级低代码平台" || body="window._CONFIG['imgD