AJ-Report 漏洞列表

AJ-Report 是 anji-plus 开发的一款报表管理软件。该漏洞存在于 AJ-Report 的 /pageList 文件中的 pageList 函数中，攻击者可以通过操纵参数 p 触发 SQL 注入漏洞。该漏洞可能导致攻击者远程执行恶意 SQL 查询，进而影响系统的机密性、完整性和可用性。

西安新视窗科技有限公司的AJ-Report数据大屏系统是一个完全开源的BI（商业智能）平台。该系统支持酷炫的大屏展示，能够随时随地掌控业务动态，让每个决策都有数据支撑。AJ-Report数据大屏系统存在JWT密钥硬编码导致Token伪造绕过认证漏洞，未经身份验证的远程攻击者可以利用此类漏洞获取后台账号密码已经数据库连接信息，进一步利用可获取服务器权限。

西安新视窗科技有限公司的AJ-Report数据大屏系统是一个完全开源的BI（商业智能）平台。该系统支持酷炫的大屏展示，能够随时随地掌控业务动态，让每个决策都有数据支撑。AJ-Report开源数据大屏dataSource 存在信息泄露漏洞，未经身份验证的远程攻击者可以利用此类漏洞获取后台账号密码已经数据库连接信息，进一步利用可获取服务器权限。

AJ-Report开源BI平台存在远程命令执行漏洞，此漏洞是verification接口对用户输入的数据缺乏校验导致的。

AJ-Report开源BI平台存在鉴权绕过漏洞，此漏洞是由于 validation 接口未充分验证用户的身份所导致的。

AJ-Report开源BI平台存在JWT和shareToken硬编码漏洞，此漏洞是密匙硬编码至产品中所导致的。

AJ-Report是anji-plus开源的一个完全开源，拖拽编辑的可视化设计工具。 AJ-Report 1.4.1及之前版本存在权限绕过漏洞，可导致/dataSource/pageList路径下的数据库敏感信息泄露，包括数据库连接地址，用户名，密码等

AJ-Report是一个完全开源的BI平台，酷炫大屏展示，能随时随地掌控业务动态，让每个决策都有数据支撑。多数据源支持，内置mysql、elasticsearch、kudu等多种驱动，支持自定义数据集省去数据接口开发，支持17+种大屏组件，不会开发，照着设计稿也可以制作大屏。该平台可以通过post方式在validationRules参数对应值中进行命令执行，可以获得服务器权限，登陆管理后台接管大屏。

西安新视窗科技有限公司的AJ-Report数据大屏系统是一个完全开源的BI（商业智能）平台。该系统支持酷炫的大屏展示，能够随时随地掌控业务动态，让每个决策都有数据支撑。AJ-Report开源数据大屏verification;swagger-ui接口存在远程命令执行漏洞，未经身份验证的远程攻击者可以利用此类漏洞执行任意命令，写入后门文件，最终可获取服务器权限。