В JeecgBoot до 3.9.1 обнаружена уязвимость. Это влияет на неизвестную функцию компонента SysAnnouncementController. Подобные манипуляции приводят к неправильной авторизации.
Атака может быть запущена удаленно. Эксплойт был раскрыт публике и может быть использован. Поставщик подтвердил проблему и предоставит исправление в следующем выпуске.
Показать оригинальное описание (EN)
A vulnerability has been found in JeecgBoot up to 3.9.1. This impacts an unknown function of the component SysAnnouncementController. Such manipulation leads to improper authorization. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The vendor confirmed the issue and will provide a fix in the upcoming release.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 6
https://github.com/jeecgboot/JeecgBoot/
cna@vuldb.com
https://github.com/jeecgboot/JeecgBoot/issues/9508
cna@vuldb.com
https://github.com/jeecgboot/JeecgBoot/issues/9508#issuecomment-4199090102
cna@vuldb.com
https://vuldb.com/submit/793656
cna@vuldb.com
https://vuldb.com/vuln/356553
cna@vuldb.com
https://vuldb.com/vuln/356553/cti
cna@vuldb.com