JeecgBoot 作为国内广泛使用的低代码开发平台,近期被曝出一个逻辑缺陷漏洞(CNVD-2026-23150)。攻击者可利用该漏洞获取系统敏感信息,虽然危害级别被评定为“低”,但结合 JeecgBoot 近期的多个安全缺陷,企业仍需引起重视。目前官方尚未发布修复补丁,部署百度云防护 WAF 可在网络层拦截恶意请求,提供“虚拟补丁”级的即时保护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CNVD 编号 | CNVD-2026-23150 |
| CVE 编号 | 暂无对应 CVE 编号 |
| 危害级别 | 低(AV:N/AC:H/Au:S/C:P/I:N/A:N) |
| 漏洞类型 | 逻辑缺陷 / 权限绕过 |
| 攻击向量 | 网络远程利用,需低权限认证 |
| 攻击复杂度 | 高 |
| 影响产品 | JeecgBoot 3.9.2 |
| 官方补丁 | 暂无 |
| 收录时间 | 2026-06-05 |
JeecgBoot 是北京国炬信息技术有限公司推出的一款基于 BPM 的低代码开发平台。该漏洞允许已拥有低权限账号的攻击者,通过绕过业务逻辑获取本无权访问的敏感信息。
二、 漏洞原理:逻辑缺陷如何导致信息泄露?
2.1 什么是“逻辑缺陷漏洞”?
逻辑缺陷漏洞(Business Logic Vulnerability)是指应用程序的业务流程或权限校验逻辑存在设计缺陷,攻击者可利用这些缺陷绕过正常的业务规则,执行非授权操作。与 SQL 注入、XSS 等技术型漏洞不同,逻辑缺陷更隐蔽,因为它利用的是系统“设计上的想当然”,而非代码实现上的错误。
2.2 本次漏洞的可能触发点
根据 CNVD 公告,该漏洞影响 JeecgBoot 3.9.2 版本,攻击者可通过特定操作获取敏感信息。JeecgBoot 此前已被曝出多个与权限校验相关的安全问题,包括:
- 未授权接口访问:部分核心接口未配置身份认证或鉴权逻辑存在缺陷
- 参数校验不足:如
/sys/common/uploadImgByHttp接口的fileUrl参数可被操纵导致 SSRF - 权限绕过:部分接口通过
jmLink、sharetoken等参数进行权限校验,攻击者可构造特定参数绕过限制 - 数据接口未授权:如
/sys/user/checkOnlyUser(可查询用户名存在性)、/sys/role/list(可获取角色信息)等接口无需认证即可访问
本次 CNVD-2026-23150 漏洞与此前披露的多个 JeecgBoot 权限绕过漏洞属于同一类问题,根源在于平台对用户权限的校验不够严格,使得低权限用户能够访问到本不应暴露的敏感数据。
2.3 为什么 CVSS 评分较低?
该漏洞的 CVSS 向量为 AV:N/AC:H/Au:S/C:P/I:N/A:N,意味着:
- 攻击复杂度高(AC:H):需要一定的技术门槛和特定的利用条件
- 需要低权限认证(Au:S):攻击者必须先拥有一个有效的低权限账号
- 仅影响机密性(C:P):可导致部分敏感信息泄露,但不会造成数据篡改或系统瘫痪
然而,低危漏洞组合利用后可能升级为高危。例如,攻击者可先利用信息泄露漏洞获取管理员用户名或角色信息,再配合其他权限绕过漏洞实现越权操作。
三、 漏洞危害
| 危害类型 | 具体后果 |
|---|---|
| 敏感信息泄露 | 获取系统用户列表、角色权限信息、业务数据等 |
| 攻击链前哨 | 泄露的信息可作为后续攻击的“情报”,配合其他漏洞实现权限提升 |
| 合规风险 | 若泄露用户个人信息,可能违反数据保护法规 |
| 品牌信任受损 | 系统存在已知漏洞且无补丁,降低客户信任度 |
JeecgBoot 被广泛应用于企业 ERP、CRM、OA 等核心业务系统。一旦敏感信息泄露,可能直接影响企业的商业安全和合规性。
四、 修复与防护方案
4.1 官方补丁状态
目前厂商尚未提供漏洞修复方案。JeecgBoot 官方此前曾对类似漏洞(如 CVE-2026-11502)回应称“实际场景中利用难度较低”,但对于 CNVD-2026-23150,官方尚未发布正式补丁。
4.2 临时缓解措施
| 措施 | 操作 | 说明 |
|---|---|---|
| 限制后台访问 | 通过防火墙或 VPN 限制 JeecgBoot 后台管理界面的公网暴露 | 减少攻击面 |
| 加强账号管理 | 定期清理非必要账号,强制使用强密码 | 降低低权限账号被滥用的风险 |
| 监控异常请求 | 审计访问日志,关注对敏感接口的异常调用 | 及时发现可疑行为 |
| 部署 WAF | 使用 Web 应用防火墙拦截恶意请求 | 推荐 |
4.3 部署百度云防护 WAF(推荐方案)
由于官方暂未发布补丁,部署专业的 Web 应用防火墙(WAF) 是目前最有效的临时防护手段。
百度云防护 WAF 可通过以下方式防御:
- 自定义规则拦截:针对已知的敏感接口(如
/sys/user/checkOnlyUser、/sys/role/list等)配置访问控制规则,仅允许授权 IP 或角色访问 - 异常行为检测:识别短时间内对敏感接口的高频请求,自动触发拦截
- JA4 指纹识别:锁定攻击者的工具特征,即使换 IP 也能精准封杀
- IP 情报库:自动封杀代理 IP、云服务 IP 等恶意来源
配置建议:
规则名称: 拦截 JeecgBoot 敏感接口未授权访问
匹配条件: URI 包含 /sys/user/checkOnlyUser 或 /sys/role/list
处置动作: 拦截五、 企业行动指南
| 优先级 | 措施 | 说明 |
|---|---|---|
| 高 | 部署百度云防护 WAF | 立即获得虚拟补丁防护,无需等待官方修复 |
| 高 | 限制后台管理界面公网暴露 | 使用 IP 白名单或 VPN 访问 |
| 中 | 审计现有用户账号 | 清理僵尸账号,强制修改弱密码 |
| 中 | 监控敏感接口访问日志 | 发现异常及时处置 |
| 低 | 关注官方补丁动态 | 待官方发布补丁后及时升级 |
六、 总结
JeecgBoot 逻辑缺陷漏洞(CNVD-2026-23150)虽然被评定为“低危”,但结合 JeecgBoot 近期频繁曝出的多个权限绕过和接口未授权问题,企业仍应高度重视。目前官方尚未发布补丁,使用 JeecgBoot 3.9.2 的网站应立即限制后台访问,并部署百度云防护 WAF 进行虚拟补丁防护。
如果你不确定自己的 JeecgBoot 系统是否受影响,或希望快速接入百度云防护,欢迎联系 主机吧。我们提供免费安全评估和配置指导。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让逻辑缺陷漏洞无处可逃,让每一个企业系统都固若金汤。
