A vulnerability was found in JeecgBoot up to 3.9.1. Impacted is the function user.getUsername of the file /sys/user/login/setting/userEdit of the component SysUser. The manipulation of the argument userIdentity results in improper access controls. The attack may be launched remotely. The exploit has been made public and could be used. Upgrading to version 3.9.2 is recommended to address this issue. The affected component should be upgraded.
JeecgBoot versions up to 3.9.1 contain an improper access control vulnerability in the SysUser component that allows remote attackers to manipulate user identity parameters. Upgrading to version 3.9.2 is recommended to remediate this issue.
تم اكتشاف ثغرة في JeecgBoot تؤثر على وظيفة user.getUsername في ملف /sys/user/login/setting/userEdit من مكون SysUser. يمكن للمهاجمين البعيدين استغلال هذه الثغرة بمعالجة معامل userIdentity لتجاوز التحكم بالوصول. تم نشر طريقة الاستغلال علناً مما يزيد من خطورة الموقف.
إصدارات JeecgBoot حتى 3.9.1 تحتوي على ثغرة في التحكم بالوصول غير الصحيح في مكون SysUser تسمح للمهاجمين البعيدين بمعالجة معاملات هوية المستخدم. يُنصح بالترقية إلى الإصدار 3.9.2 لمعالجة هذه المشكلة.
Immediately upgrade JeecgBoot to version 3.9.2 or later. Review and audit user access logs for suspicious activity. Implement network segmentation to restrict access to the /sys/user/login/setting/userEdit endpoint. Apply principle of least privilege to user accounts.
قم بترقية JeecgBoot فوراً إلى الإصدار 3.9.2 أو أحدث. راجع وتدقيق سجلات وصول المستخدمين للنشاط المريب. طبق تقسيم الشبكة لتقييد الوصول إلى نقطة نهاية /sys/user/login/setting/userEdit. طبق مبدأ أقل امتياز على حسابات المستخدمين.