近几年来，黑客攻击行为呈现出日益复杂和隐蔽的趋势，对个人和组织的安全造成了严重威胁。黑客们不断寻找新的漏洞和安全漏洞，利用各种手段进行网络攻击，包括恶意软件、网络钓鱼、勒索软件等。因此，我们每个人都需要关注漏洞风险，加强网络安全意识，及时更新系统补丁。目前有网友反馈受到攻击勒索，虽然我们的商业客户并没受到影响，但也请尽快升级补丁，避免未知的风险！ 黑客攻击现在很频繁，请一定重视！！！

一、升级 freemarker 补丁，解决执行任意命令问题

升级 freemarker 补丁，解决Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。

无论你的 jeecg 是那个版本都可以采用此方案：重写 freemarker 的类 src/main/java/freemarker/template/Configuration.java 方式，在实例化 Configuration 方法里面默认加入下面代码

//freemarker模板注入问题 禁止解析ObjectConstructor，Execute和freemarker.template.utility.JythonRuntime。this.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);

参考代码：针对 freemaker2.3.31 的重写 Configuration 初始化，具体大家请按照自己的版本去重写覆盖。https://download.csdn.net/download/zhangdaiscott/88219180

二、升级积木报表到最新版 1.6.5，解决无权限可访问问题

1、升级依赖版本号

修改 pom.xml 中积木报表的依赖版本号

<!-- 积木报表--><dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-spring-boot-starter</artifactId> <version>1.6.5</version> <exclusions> <exclusion> <artifactId>autopoi-web</artifactId> <groupId>org.jeecgframework</groupId> </exclusion> </exclusions></dependency><dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-noSQL-starter</artifactId> <version>1.6.0</version></dependency>

2、修改 yml 配置

jeecg: jmreport: mode: dev #多租户模式，默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2 新增) saasMode: # 平台上线安全配置(v1.6.2 新增) firewall: # 数据源安全 (开启后，不允许使用平台数据源、sql解析加签并不允许查询数据库) dataSourceSafe: false # 低代码开发模式（dev:开发模式，prod:发布模式—关闭在线报表设计功能，分配角色admin、lowdeveloper可放开限制） lowCodeMode: dev

3、修改 org.jeecg.config.jimureport.JimuReportTokenService 加入实现新方法

@Override public String[] getRoles(String token) { String username = JwtUtil.getUsername(token); Set roles = sysBaseApi.getUserRoleSet(username); if(CollectionUtils.isEmpty(roles)){ return null; } return (String[]) roles.toArray(new String[roles.size()]); }

4. 执行升级 sql

这里做的是从 1.4.2 升级到 1.6.5，有升级 sql 如下，其他版本请查看积木报表升级日志

ALTER TABLE jimu_report_data_sourceADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '多租户标识' AFTER connect_times;ALTER TABLE jimu_dictADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '多租户标识' AFTER type;ALTER TABLE jimu_reportADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL COMMENT '多租户标识' AFTER js_str;ALTER TABLE jimu_report_data_sourceADD COLUMN type varchar(10) NULL COMMENT '类型(report:报表;drag:仪表盘)';UPDATE jimu_report_data_source SET type= 'report';CREATE TABLE jimu_report_share ( id varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '主键', report_id varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '在线excel设计器id', preview_url varchar(1000) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '预览地址', preview_lock varchar(4) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '密码锁', last_update_time datetime NULL DEFAULT NULL COMMENT '最后更新时间', term_of_validity varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '有效期(0:永久有效，1:1天，2:7天)', status varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '是否过期(0未过期，1已过期)', preview_lock_status varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '密码锁状态(0不存在密码锁，1存在密码锁)', PRIMARY KEY (id) USING BTREE) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_general_ci COMMENT = '积木报表预览权限表' ROW_FORMAT = DYNAMIC;

三、其他官方漏洞通知专题

【漏洞通知】JeecgBoot 修复 Freemarker 模板注入漏洞

• https://blog.csdn.net/zhangdaiscott/article/details/132304391

积木报表 JimuReport v1.6.2-GA5 版本发布 — 高危 SQL 漏洞安全加固版本

• https://my.oschina.net/jeecg/blog/10106055

【漏洞通知】JeecgBoot 修复 SQL 注入风险

• https://my.oschina.net/jeecg/blog/10107636

【漏洞通知】Apache Shiro 又爆认证绕过漏洞 CVE-2023-34478

• https://blog.csdn.net/zhangdaiscott/article/details/131914652

JeecgBoot 升级 Nacos 至 2.2.3 版本解决 raft 漏洞问题

• https://blog.csdn.net/zhangdaiscott/article/details/131730495

【高危安全通告】fastjson≤1.2.80 反序列化漏洞

• https://blog.csdn.net/zhangdaiscott/article/details/124960217