A vulnerability was determined in JeecgBoot up to 3.9.1. Impacted is the function SqlInjectionUtil of the file jeecg-boot/jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java of the component loadDict Endpoint. This manipulation of the argument keyword causes sql injection. The attack is possible to be carried out remotely. The exploit has been publicly disclosed and may be utilized. Patch name: a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b. To fix this issue, it is recommended to deploy a patch.
JeecgBoot versions up to 3.9.1 contain a SQL injection vulnerability in the SqlInjectionUtil function of the loadDict endpoint, allowing remote attackers to execute arbitrary SQL commands through the keyword parameter. Organizations using affected versions should immediately apply the security patch to prevent unauthorized database access and data manipulation.
ثغرة حقن SQL في مكون JeecgBoot تؤثر على نقطة نهاية loadDict من خلال معامل keyword غير المحقق. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر SQL عشوائية والوصول إلى بيانات حساسة أو تعديلها. تم الكشف عن الاستغلال علناً مما يزيد من خطر الهجمات الفعلية.
إصدارات JeecgBoot حتى 3.9.1 تحتوي على ثغرة حقن SQL في دالة SqlInjectionUtil في نقطة نهاية loadDict، مما يسمح للمهاجمين البعيدين بتنفيذ أوامر SQL عشوائية عبر معامل الكلمة الرئيسية. يجب على المنظمات التي تستخدم الإصدارات المتأثرة تطبيق رقعة الأمان فوراً لمنع الوصول غير المصرح به إلى قاعدة البيانات وتعديل البيانات.
Update JeecgBoot to version 3.9.2 or later, apply patch a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b, implement input validation and parameterized queries for the keyword parameter, conduct security code review of SqlInjectionUtil function, and monitor database logs for suspicious SQL activity.
قم بتحديث JeecgBoot إلى الإصدار 3.9.2 أو أحدث، وتطبيق الرقعة a9c8e8eb1185751c4c3c68d2a53f3dadee9edc6b، وتنفيذ التحقق من صحة الإدخال والاستعلامات المعاملة لمعامل الكلمة الرئيسية، وإجراء مراجعة أمان الكود لدالة SqlInjectionUtil، ومراقبة سجلات قاعدة البيانات للنشاط المريب.