漏洞标题
N/A
漏洞描述信息
J2eeFAST 2.2.1 允许远程攻击者通过 (1) compId 参数到 fast/sys/user/list,(2) deptId 参数到 fast/sys/role/list 或 (3) roleId 参数到 fast/sys/role/authUser/list 进行 SQL 注入。与使用 ${} 连接 SQL 语句有关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
J2eeFAST 2.2.1 allows remote attackers to perform SQL injection via the (1) compId parameter to fast/sys/user/list, (2) deptId parameter to fast/sys/role/list, or (3) roleId parameter to fast/sys/role/authUser/list, related to the use of ${} to join SQL statements.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
J2eeFAST SQL注入漏洞
漏洞描述信息
J2eeFAST是一个Java EE 企业级快速开发平台, 致力于打造中小企业最好用的开源免费的后台框架平台。 J2eeFAST 2.2.1存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
CVSS信息
N/A
漏洞类别
SQL注入