JeecgBoot 积木报表 testConnection JDBC 远程代码执行

JeecgBoot 是JeecgBoot社区的一款基于代码生成器的低代码平台，积木报表是其中的低代码报表组件。JeecgBoot 受影响版本中，由于 /jmreport/testConnection API 接口未进行身份验证，并且未对 dbUrl 参数进行限制，攻击者可以发生包含恶意的dbUrl 参数的http 请求进行远程任意命令执行。

1、任意命令执行：攻击者可以利用该漏洞执行任意命令，这可能导致对系统进行未经授权的操作，例如创建、修改或删除文件、执行系统命令、安装恶意软件等。
2、敏感数据泄露：攻击者可以利用该漏洞来访问和窃取系统中存储的敏感数据，如用户凭据、个人信息、业务数据等。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/jeecg-boot/jmreport/testConnection接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本，下载地址：http://jimureport.com/