漏洞概述 jimureport BI Dashboard数据源管理模块中的 端点存在远程代码执行(RCE)漏洞。该端点未对H2数据库的危险参数进行验证。攻击者可通过构造包含恶意 参数的H2 JDBC URL,在数据库连接建立时执行任意Java代码。此前针对DB2注入的修复并未解决此H2 JDBC注入问题。 影响范围 受影响版本:≤ v2.3.0 修复方案 该漏洞已在后续版本中修复(Issue状态为Closed,用户jeecg评论“已修改,下版本更新”)。建议用户升级至修复后的版本。 POC代码 Linux payload (将 cmd 替换为 sh -c):