漏洞预警 | SpringBlade SQL注入漏洞

0x00 漏洞编号

0x01 危险等级

0x02 漏洞概述

SpringBlade 是一个由商业级项目升级优化而来的微服务架构采用Spring Boot 2.7 、Spring Cloud 2021等核心技术构建，提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台。

0x03 漏洞详情

漏洞类型：SQL注入

影响：获取敏感信息

简述：SpringBlade dict-biz接口存在SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。

0x04 影响版本

0x05 POC
{url}/api/blade-system/dict-biz/list?updatexml(1,concat(0x7e,md5(1),0x7e),1)=1

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://bladex.cn/

微信扫描关注我们

周一至周五（工作日） 09:00-18:00
周末/法定节假日（值班）09:00-18:00

联系人：徐泮

手机：17620028178

邮件：1536715554@qq.com

地址：广州市天河区思成路19号五号楼2F C29

热门