https://x7peeps.com/tags/J2eeFAST/index.htmlHugozh-CNTue, 02 Jun 2026 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/03-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/CVE-2023-24162_J2eeFAST_SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/index.htmlTue, 02 Jun 2026 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/03-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/CVE-2023-24162_J2eeFAST_SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/index.html0x00 漏洞背景与详情 CVE ID: CVE-2023-24162 漏洞类型: SQL 注入 (CWE-89) 危险等级: 高危 (High) 受影响产品: J2eeFAST (Java 快速开发平台) 受影响版本: v2.5.0 及以下版本 J2eeFAST 是一款企业级快速开发框架。CVE-2023-24162 是存在于其管理后台的一个 SQL 注入漏洞。该漏洞位于 /sys/user/list 接口中，主要原因是后端在接收前端传递的 sqlid 参数时，未能进行充分的清洗与预编译处理，直接将参数拼接到 Mybatis 的执行语句中。攻击者利用该漏洞可以读取数据库敏感信息，甚至在满足一定条件下实现服务器的远程代码控制。https://x7peeps.com/%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/03-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/CVE-2023-24163_J2eeFAST_SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/index.htmlTue, 02 Jun 2026 00:00:00 +0000https://x7peeps.com/%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/03-%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/CVE-2023-24163_J2eeFAST_SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/index.html0x00 漏洞背景与详情 CVE ID: CVE-2023-24163 漏洞类型: SQL 注入 (CWE-89) 危险等级: 高危 (High) 受影响产品: J2eeFAST (JavaEE 开源快速开发平台) 受影响版本: v2.5.1 及以下版本 J2eeFAST 是一款基于 SpringBoot + Shiro + Mybatis-Plus 构建的开源快速开发框架。CVE-2023-24163 漏洞存在于其后端的 /sys/role/list 接口中。由于在处理动态 SQL 查询时，未对用户输入的参数进行充分过滤和参数化处理，导致攻击者可以构造恶意的 SQL 语句，绕过身份验证并读取、修改甚至破坏数据库中的数据。