Vulnerabilities ›

CVE-2026-7290

Medium

CWE-74 — Weakness Type

                    Published: Apr 28, 2026                      ·  Modified: May 1, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A vulnerability was determined in JeecgBoot up to 3.9.1. Impacted is the function SqlInjectionUtil of the file jeecg-boot/jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java of the component loadDict Endpoint. This manipulation of the argument keyword causes sql injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized. Patch name: a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b. To fix this issue, it is recommended to deploy a patch.

🤖 AI Executive Summary

JeecgBoot versions up to 3.9.1 contain a SQL injection vulnerability in the SqlInjectionUtil function of the loadDict endpoint, allowing remote attackers to execute arbitrary SQL commands through the keyword parameter. Organizations using affected versions should immediately apply the security patch to prevent unauthorized database access and data manipulation.

📄 Description (Arabic)

ثغرة حقن SQL في مكون JeecgBoot تؤثر على نقطة نهاية loadDict من خلال معامل keyword غير المحقق. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر SQL عشوائية والوصول إلى بيانات حساسة أو تعديلها. تم الكشف عن الاستغلال علناً مما يزيد من خطر الهجمات الفعلية.

🤖 ملخص تنفيذي (AI)

إصدارات JeecgBoot حتى 3.9.1 تحتوي على ثغرة حقن SQL في دالة SqlInjectionUtil في نقطة نهاية loadDict، مما يسمح للمهاجمين البعيدين بتنفيذ أوامر SQL عشوائية عبر معامل الكلمة الرئيسية. يجب على المنظمات التي تستخدم الإصدارات المتأثرة تطبيق رقعة الأمان فوراً لمنع الوصول غير المصرح به إلى قاعدة البيانات وتعديل البيانات.

🤖 AI Intelligence Analysis Analyzed: May 18, 2026 10:41

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1110 T1040

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update JeecgBoot to version 3.9.2 or later, apply patch a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b, implement input validation and parameterized queries for the keyword parameter, conduct security code review of SqlInjectionUtil function, and monitor database logs for suspicious SQL activity.

🔧 خطوات المعالجة (العربية)

قم بتحديث JeecgBoot إلى الإصدار 3.9.2 أو أحدث، وتطبيق الرقعة a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b، وتنفيذ التحقق من صحة الإدخال والاستعلامات المعاملة لمعامل الكلمة الرئيسية، وإجراء مراجعة أمان الكود لدالة SqlInjectionUtil، ومراقبة سجلات قاعدة البيانات للنشاط المريب.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.8.2.1 A.8.2.2 A.8.2.3

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.DS-2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.13.1.1

🔗 References & Sources 7

🔗

https://github.com/jeecgai/JeecgBoot/commit/a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b

cna@vuldb.com

🔗

https://github.com/jeecgboot/JeecgBoot/

cna@vuldb.com

🔗

https://github.com/jeecgboot/JeecgBoot/issues/9491

cna@vuldb.com

🔗

https://github.com/jeecgboot/JeecgBoot/pull/9493

cna@vuldb.com

🔗

https://vuldb.com/submit/803072

cna@vuldb.com

🔗

https://vuldb.com/vuln/359948

cna@vuldb.com

🔗

https://vuldb.com/vuln/359948/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-74

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-04-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-74

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7290

Introduce Yourself

Sign In Required