CRITICAL🇬🇧 English

CVE-2024-53499

SQL Injection w Jeewms v3.7 poprzez CgReportController API

CVSS 9.8v3.1pub. 2025-08-22upd. 2025-09-09

W systemie Jeewms w wersji 3.7 wykryto podatność typu SQL injection w komponencie CgReportController API. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość zdalnego ataku bez uwierzytelnienia.

Pokaż oryginał (EN)

Jeewms v3.7 was discovered to contain a SQL injection vulnerability via the CgReportController API.

🤖 Analiza AI
Jak działa

Atakujący może przesłać spreparowane zapytanie HTTP do punktu końcowego CgReportController API, wstrzykując złośliwy kod SQL. Brak odpowiedniej walidacji lub parametryzacji danych wejściowych powoduje, że wstrzyknięty kod jest bezpośrednio interpretowany przez silnik bazy danych. Atak nie wymaga posiadania konta w systemie ani interakcji ze strony użytkownika, a jego przeprowadzenie jest możliwe zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w zależności od konfiguracji serwera bazy danych — potencjalnie przejąć kontrolę nad systemem. Podatność zagraża poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu sieciowego do interfejsu API CgReportController oraz monitorowanie logów pod kątem podejrzanych zapytań SQL.

Kogo dotyczy

Jeewms v3.7

Uwagi

Szczegóły techniczne podatności zostały opublikowane w repozytorium Gitee pod adresem wskazanym w referencjach (https://gitee.com/fushuling/cve/blob/master/CVE-2024-53499.md).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Jeewms

    APP
    Jeewms
    3.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-50901CRITICAL9.8PL ✓ten sam produkt

JeeWMS — pominięcie uwierzytelnienia umożliwiające odczyt plików

CVE-2024-27764CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień przez path traversal w Jeewms (AuthInterceptor)

CVE-2024-57757HIGH7.5ten sam produkt

JeeWMS before v2025.01.01 was discovered to contain a permission bypass in the component /interceptors/AuthInt...

CVE-2024-27765HIGH7.5ten sam produkt

Directory Traversal vulnerability in Jeewms v.3.7 and before allows a remote attacker to obtain sensitive info...

CVE-2026-3026MEDIUM5.5ten sam produkt

A vulnerability has been found in erzhongxmu JEEWMS 3.7. Affected by this issue is some unknown functionality ...