安全研究

安全漏洞
Jeecg  JeecgBoot SQL注入漏洞(CVE-2026-3672)

发布日期:2026-03-07
更新日期:2026-06-22

受影响系统:
jeecg JeecgBoot <= 3.9.1
描述:
CVE(CAN) ID: CVE-2026-3672

Jeecg JeecgBoot是中国Jeecg公司开源的一个适用于企业Web应用程序的Java低代码平台。
Jeecg JeecgBoot 3.9.1及之前版本存在SQL注入漏洞,该漏洞源于isExistSqlInjectKeyword 仅简单匹配完整英文关键词,未处理大小写变形、特殊字符分割,远程攻击者可利用该漏洞构造变形关键字实现SQL注入,读取、篡改全部数据库数据。

<**>

建议:
厂商补丁:

jeecg
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://vuldb.com/?ctiid.349569

浏览次数:149
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障