漏洞总结 漏洞概述 在 jimureport BI Dashboard 的数据源管理模块中, 端点未对危险的 H2 数据库参数进行验证。攻击者可以利用 H2 JDBC URL 中的 参数,在建立数据库连接期间执行任意 Java 代码,从而导致远程代码执行 (RCE)。此前针对 DB2 注入的修复并未涵盖此 H2 JDBC 注入问题。 影响范围 产品: jimureport 受影响版本: ≤ v2.3.0 环境: Windows 10 + JDK 17 POC 代码 攻击者可通过构造特定的 JSON 请求体来触发漏洞。以下是截图中提供的完整 Payload: 修复方案 根据 Issue 底部的评论(由 和 发布),该漏洞已修改,并将在下一个版本中更新**。Issue 状态已标记为 "Closed" (Completed)。