report icon indicating copy to clipboard operation
report copied to clipboard

Published 20 hours ago verified publisher icon anji-plus

aj-report 1.4.1 代码审计多处高危漏洞导致服务器权限丢失

Open unam4 opened this issue 9 months ago • 0 comments

详细看报告 aj-report 二次就业.pdf

修复意见

接口健全确实,主要靠filter,一些重要的接口,权限缺失,如/dataSource、/dataSet下的接口,匿名用户也可以操作,filter建议直接使用getServletPath(),或者重写一下。

jwt的认证密钥是写在依赖包里面,无法修改.

返回包里面的DTO,把敏感字短执行加密。

unam4 avatar May 18 '24 12:05 unam4