JeecgBoot 越权访问漏洞(CVE-2025-10979)预警
1、基本情况
JeecgBoot 是一款基于 BPM 流程和代码生成的 AI 低代码平台,助力企业快速实现低代码开发和构建 AI 应用。采用前后端分离架构(Ant Design&Vue3,SpringBoot3,SpringCloud Alibaba,Mybatis-plus),强大代码生成器实现前后端一键生成,无需手写代码。平台引领 AI 低代码开发模式:AI 生成→在线编码→代码生成→手工合并,解决 Java 项目 80%重复工作,提升效率,节省成本,兼顾灵活性。具备强大且颗粒化的权限控制,支持按钮权限和数据权限设置,满足大型业务系统需求。 功能涵盖在线表单、表单设计、流程设计、门户设计、报表与大屏设计、OA 办公、AI 应用、AI 知识库、大模型管理、AI 流程编排、AI 聊天,支持 ChatGPT、DeepSeek、Ollama 等多种 AI 大模型。
近日,监测发现 JeecgBoot 官方发布安全公告修复了JeecgBoot越权访问漏洞(CVE-2025-10979),Jeecg-Boot 的/sys/role/exportXls 接口存在越权访问漏洞,经身份验证的攻击者可以通过该漏洞下载应用程序中定义的所有角色的完整列表。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
⚫ Jeecg-Boot <= 3.8.2
3、处置建议
目前该已经修复,受影响用户可安装最新版本补丁。
下载地址:http://www.jeecg.com/
4、参考链接
1) http://www.jeecg.com/