本文详细分析了JeecgBoot框架中存在的CVE-2025-15120授权不当漏洞。该漏洞存在于3.9.0及之前版本的`/sys/sysDepartRole/getDeptRoleList`接口中，由于对`departId`参数的处理不当，可能导致未授权访问。漏洞可被远程利用，但利用复杂度较高。

CVE-2025-15120: JeecgBoot 中的授权不当漏洞

严重性: 低类型: 漏洞 CVE编号: CVE-2025-15120

漏洞描述

在 JeecgBoot 3.9.0 及之前版本中发现一个缺陷。受影响的文件是 /sys/sysDepartRole/getDeptRoleList，具体是其中的 getDeptRoleList 函数。对参数 departId 的操纵导致了授权不当。

该攻击可以远程进行。攻击需要较高的复杂度，利用难度被认为较高。漏洞利用代码已被公开，并可能被使用。供应商在早期就收到了此披露的通知，但未作出任何回应。

数据版本: 5.2 分配者简称: VulDB 预留日期: 2025-12-27T09:00:54.925Z CVSS版本: 4.0 状态: 已发布

威胁ID: 6950b34991db97df3a62e297 添加到数据库: 2025/12/28, 4:34:17 AM 最后更新: 2025/12/29, 4:10:06 AM 查看次数: 16

来源: CVE 数据库 V5 发布日期: 2025年12月28日，星期日 (2025年12月28日，04:02:06 UTC) 产品: JeecgBoot