Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

SQL注入风险 #6956

Closed
12345ZMTHL opened this issue Jul 24, 2024 · 6 comments
Closed

SQL注入风险 #6956

12345ZMTHL opened this issue Jul 24, 2024 · 6 comments

Comments

@12345ZMTHL
Copy link

版本号:

2.2.0,3.5.2

问题描述:

项目被攻防演练发现存在SQL注入漏洞,/jeecg-boot/contractor/contractor/list 需要我们下线这个路径下的资源,但是在项目代码中找不到不这个路径,这种情况该如何处理呢

错误截图:

image

友情提示:

  • 未按格式要求发帖、描述过于简单的,会被直接删掉;
  • 描述问题请图文并茂,方便我们理解并快速定位问题;
  • 如果使用的不是master,请说明你使用的分支;
@zhangdaiscott
Copy link
Member

我们项目不存在这个地址,你们自己写的吧

官方漏洞升级日志见
https://jeecg.com/doc/log

@12345ZMTHL
Copy link
Author

我们项目不存在这个地址,你们自己写的吧

官方漏洞升级日志见 https://jeecg.com/doc/log

真不是我们写的,我们全局搜索contractor关键字都找不到

@12345ZMTHL
Copy link
Author

我们项目不存在这个地址,你们自己写的吧

官方漏洞升级日志见 https://jeecg.com/doc/log

我现在用的是2.2.0版本,升级到那个版本改动最小呢,升级到3.0版本我记得还得升级JDK吧

@etn0tw
Copy link

etn0tw commented Jul 26, 2024

我们项目不存在这个地址,你们自己写的吧
官方漏洞升级日志见 https://jeecg.com/doc/log

我现在用的是2.2.0版本,升级到那个版本改动最小呢,升级到3.0版本我记得还得升级JDK吧

请问是您们被该漏洞攻击了还是有人跟你们说这个路径有漏洞?
因为我也没有发现这个路径存在的痕迹。

@zhangdaiscott
Copy link
Member

搜不到就说明项目中不存在这个路径,是其他人自己写的爆出漏洞,你们没有吧

@12345ZMTHL
Copy link
Author

公司攻防演练检测到的,前天晚上急急忙忙的让我们下线服务,说有SQL注入风险,让他们给详细的数据,不给说是情报还没公开。我把codegenerate升级到1.4.5重新上服务就没通知有风险了。所以到现在也不清楚是那里的原因

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@zhangdaiscott @12345ZMTHL @etn0tw