JeecgBoot SQLi 漏洞 CVE-2026-8114 公开可用

执行摘要

追踪到的SQL注入漏洞CVE-2026-8114（CVSS 6.5）影响JeecgBoot版本至3.9.1，这是一个在中国主要用于企业应用开发的流行开源低代码开发平台。该漏洞存在于/sys/dict/loadTreeData端点中，其中condition参数在传递给JSON对象处理器之前没有得到适当的清理。根据国家漏洞数据库（NVD）和供应商的GitHub仓库，攻击者可以远程利用此漏洞而无需认证，并且已公开发布利用代码。供应商JeecgBoot在一份中文声明中确认了该问题，并确认应在版本3.9.2中修复。

技术分析

CVE-2026-8114是JeecgBoot字典管理模块中loadTreeData函数的一个经典SQL注入漏洞。端点/sys/dict/loadTreeData接受一个condition参数，该参数由JSON对象处理器处理。处理器在构建SQL查询之前未能转义或参数化用户提供的输入，允许攻击者注入任意SQL命令。

该漏洞可以通过HTTP远程利用，无需事先认证或特殊权限。NVD评估分配了一个CVSS v3.1基础得分6.5（中等），向量字符串表明网络攻击向量，攻击复杂度低，无需特权。影响主要在于机密性和完整性，因为成功的注入可能导致未经授权的数据访问或修改。

至关重要的是，NVD条目指出利用代码已公开可用，可能正在积极使用。供应商的GitHub仓库包含一份中文确认声明：“应在版本3.9.2中修复。”截至本文撰写时，尚未公布确切的提交或补丁细节，使得3.9.1及更早版本的用户暴露在外。

JeecgBoot在中国企业中广泛部署，用于快速应用开发，包括政府、金融和制造业。该平台在低代码工具用于构建内部业务应用的环境中的流行，使得这个漏洞对可能没有专门的安全团队审查依赖关系的组织尤其令人担忧。

缓解措施与建议

运行JeecgBoot的组织应立即升级到3.9.2版本或更高版本，一旦发布。供应商已确认正在开发修复程序，但尚未提供具体的发布日期。在此期间，防御者应实施以下缓解措施：

• 限制网络访问到/sys/dict/loadTreeData端点，仅允许受信任的IP范围，使用Web应用程序防火墙（WAF）规则或网络分割。
• 监控利用尝试，通过审查Web服务器日志，查找包含SQL关键字（例如UNION、SELECT、OR 1=1）的异常condition参数，这些参数针对易受攻击的端点。
• 在反向代理或API网关层应用输入验证，拒绝带有可疑condition值的请求，在它们到达JeecgBoot应用程序之前。
• 对任何基于JeecgBoot构建的自定义应用程序进行安全审计，以识别其他潜在的注入点，因为平台的低代码特性可能会引入额外的漏洞。

鉴于利用代码已公开可用，安全补救的时间窗口很窄。无法立即修补的组织应将漏洞视为正在积极利用。