漏洞描述
JEECG是北京国炬信息技术有限公司开发一款基于代码生成器的快速开发平台,集成完善的工作流平台,独创开发模式(Online Coding模式->代码生成器模式->手工MERGE智能开发) 可以帮助解决Java项目60%的重复工作,让开发更多关注业务逻辑,该平台集成了druid组件(阿里巴巴开源平台上一个数据库连接池实现),但在老版本中 JEECG未对该组件设置访问控制,造成了未授权访问漏洞 攻击者可以查看druid中的各种监控数据,其中包括服务器所有与的session,攻击者若获取到后台用户session,可登录后台,结合其他漏洞获取webshell。