PT-2026-38598 · Unknown · Jeecg-Boot
Liaojialin
·
Publicado
2026-05-07
·
Atualizado
2026-05-10
·
CVE-2026-8114
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
JeecgBoot versões anteriores a 3.9.2
Descrição
Existe um problema no componente JSON Object Handler onde a manipulação do argumento
condition no endpoint '/sys/dict/loadTreeData' permite a execução de SQL injection remotamente. SQL injection é uma técnica na qual um invasor insere instruções SQL maliciosas em uma consulta, permitindo potencialmente a manipulação ou o acesso ao banco de dados.Recomendações
Atualize para uma versão posterior à 3.9.1.
Como medida paliativa temporária, restrinja o acesso ao endpoint '/sys/dict/loadTreeData' ou evite usar o parâmetro
condition até que a atualização seja aplicada.Exploit
Correção
Special Elements Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jeecg-Boot