JeecgBoot授权漏洞CVE-2025-15126技术分析

本文详细分析了CVE-2025-15126漏洞,该漏洞存在于JeecgBoot 3.9.0及更早版本的/sys/position/getPositionUserList接口中,由于对positionId参数的处理不当导致授权机制缺陷,允许远程攻击,但利用复杂度较高。

CVE-2025-15126:JeecgBoot中的不当授权漏洞

严重性:低 类型:漏洞 CVE:CVE-2025-15126

在JeecgBoot 3.9.0及更早版本中发现了一个安全弱点。受此漏洞影响的是文件 /sys/position/getPositionUserList 中的 getPositionUserList 函数。对参数 positionId 的操纵导致了不当的授权。攻击可以远程发起。攻击的复杂度相当高。漏洞利用看起来比较困难。漏洞利用代码已公开,并且可能被利用。供应商在漏洞披露初期已被联系,但未做出任何回应。

来源:CVE Database V5 发布日期:2025年12月28日 星期日

技术详情

数据版本: 5.2 分配者短名称: VulDB 预留日期: 2025-12-27T09:01:11.706Z CVSS 版本: 4.0 状态: 已发布

威胁 ID: 6950dd7991db97df3a74e2d1 添加到数据库: 2025年12月28日,上午7:34:17 最后更新: 2025年12月29日,上午4:09:54 查看次数: 17

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次