乐趣区

关于freemarker:漏洞通知JeecgBoot-修复Freemarker模板注入漏洞-漏洞危害等级高危

Freemarker 模板注入导致近程命令执行, 近程攻击者可利用该破绽调用在零碎上执行任意命令。

JeecgBoot 官网已修复,倡议大家尽快降级至相干底层依赖和源码

一、破绽形容

Freemarker 模板注入导致近程命令执行, 近程攻击者可利用该破绽调用在零碎上执行任意命令。破绽危害等级:高危

二、影响范畴

  • minidao-spring-boot-starter 版本 < 1.9.2
  • jimureport-spring-boot-starter 版本 < 1.6.1
  • codegenerate 版本 < 1.4.4
  • hibernate-re 版本 < 3.5.3
  • jeewx-api 版本 < 1.5.2
  • drag-free 版本 < 1.0.2

三、修复计划,降级依赖版本和源码

目前该破绽曾经修复,受影响用户可降级到以下版本
  • minidao-spring-boot-starter >= 1.9.2
  • jimureport-spring-boot-starter >= 1.6.1
  • codegenerate >= 1.4.4
  • hibernate-re >= 3.5.3
  • jeewx-api >= 1.5.2
  • drag-free >=1.0.2
JeecgBoot 修复 PR:
  • https://github.com/jeecgboot/jeecg-boot/commit/acb48179ab00e167747fa4a3e4fd3b94c78aeda5
  • https://github.com/jeecgboot/jeecg-boot/commit/baf4b96b3fcffa183e19b87485f5fb8388bb36ae
退出移动版