Jfinal CMS SQL注入漏洞

Jfinal CMS SQL注入漏洞

Jfinal CMS是一个java开发的功能强大的信息咨询网站，采用了简洁强大的JFinal作为web框架，模板引擎用的是beetl，数据库用mysql，前端bootstrap框架。

一、漏洞分析

 公开日期：2022-06-24

 漏洞编号：CNVD-2022-47415/CVE-2022-30500

 危害等级：高危

 漏洞描述：Jfinal CMS 5.1版本存在SQL注入漏洞，该漏洞源于/admin/folder路径直接拼接了来自getOrderby函数，攻击者可利用该漏洞进行SQL注入攻击。

二、漏洞影响产品

Jfinal cms jfinal cms 5.1.0

三、漏洞处置建议

厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://github.com/jflyfox/jfinal_cms