A security flaw has been discovered in JeecgBoot up to 3.9.1. This vulnerability affects the function CommonController.uploadImgByHttp/HttpFileToMultipartFileUtil.httpFileToMultipartFile/HttpFileToMultipartFileUtil.downloadImageData of the file CommonController.java of the component uploadImgByHttpEndpoint. Performing a manipulation results in server-side request forgery. The attack can be initiated remotely. The exploit has been released to the public and may be used for attacks. Upgrading the affected component is recommended. The vendor confirmed the issue and will provide a fix in the upcoming release.
JeecgBoot versions up to 3.9.1 contain a server-side request forgery (SSRF) vulnerability in the image upload functionality that allows remote attackers to manipulate HTTP requests. The vulnerability exists in the CommonController.uploadImgByHttp endpoint and related utility functions, enabling attackers to make arbitrary requests from the server.
تؤثر هذه الثغرة على وحدة تحميل الصور عبر HTTP في JeecgBoot حيث يمكن للمهاجمين استغلال معالجة الطلبات غير الآمنة للقيام بطلبات تعسفية من خادم التطبيق. يمكن استخدام هذا الاستغلال للوصول إلى الموارد الداخلية أو إجراء هجمات على أنظمة أخرى.
إصدارات JeecgBoot حتى 3.9.1 تحتوي على ثغرة تزوير طلبات من جانب الخادم في وظيفة تحميل الصور تسمح للمهاجمين بمعالجة طلبات HTTP. تقع الثغرة في نقطة نهاية CommonController.uploadImgByHttp والوظائف المساعدة ذات الصلة.
Immediately upgrade JeecgBoot to version 3.9.2 or later when available. Implement network segmentation to restrict outbound connections from application servers. Apply input validation and URL whitelisting for the uploadImgByHttp endpoint. Monitor and log all HTTP requests initiated by the application. Consider disabling the vulnerable endpoint until patched.
قم بترقية JeecgBoot فوراً إلى الإصدار 3.9.2 أو أحدث عند توفره. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خوادم التطبيقات. طبق التحقق من صحة المدخلات وإدراج عناوين URL البيضاء لنقطة النهاية. راقب وسجل جميع طلبات HTTP التي يبدأها التطبيق.