JeePlus快速开发平台 validateMobile SQL注入漏洞复现

0x01 产品简介

JeePlus（洁普斯）是一个软件快速开发平台，使用多种现代Web技术，包括Spring Cloud/Spring Boot、MyBatis Plus、Spring Security、Redis、Vue3、Element Plus等。该平台支持多种数据库，如MySQL、Oracle、sqlserver、postgresql等。JeePlus采用标准的SOA架构，依托优秀的前台富客户端框架（如Extjs4.2）实现展示层的MVC（Model View Controller）再分层。它还利用内部升级版的SSH2应用框架和独有的DynaBean数据处理模式，使SQL执行更快更灵活。此外，JeePlus是一个低代码开发平台，解决了开发中大量的重复工作，让开发者更多聚焦业务逻辑，快速开发和部署现代Web应用程序+微服务架构。通过使用JeePlus，可以设计数据库表、配置表单模型、生成代码、一键生成菜单等，从而实现自动建表，根据表生成对应的Domain/DTO、Service、Mapper、Controller、Vue等，支持增删改查/排序/导出导入Excel/权限控制/功能生成直接使用等功能。同时，JeePlus还支持多租户技术，保证系统共性的部分被共享，个性的部分被单独隔离。

0x02 漏洞概述

JeePlus快速开发平台 validateMobile 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

0x03 复现环境

FOFA：app="JeePlus"