MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

漏洞描述

MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。

收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。

Column 1 Column 2
漏洞名称 MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
漏洞类型 SQL 注入
发现时间 2024-05-29
漏洞影响广度 -
MPS 编号 MPS-mg7u-bw9p
CVE 编号 CVE-2024-35548
CNVD 编号 -

影响范围

mybatis-plus@(-∞, 3.5.6]

com.baomidou:mybatis-plus-core@(-∞, 3.5.6]

官方补丁:https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

相关推荐
weixin_419658314 小时前
MyBatis 进阶
mybatis
奥尔特星云大使5 小时前
MySQL 备份基础(一)
数据库·sql·mysql·备份·mysql备份
努力学习的小廉6 小时前
初识MYSQL —— 库和表的操作
数据库·mysql·oracle
浔川python社7 小时前
网络爬虫技术规范与应用指南系列(xc—1)
数据库·爬虫
代码不停7 小时前
计算机工作原理(简单介绍)
数据库·redis·缓存
偷心伊普西隆7 小时前
Python Access:删除数据库中指定的表和查询
数据库·python
小蒜学长8 小时前
springboot基于BS的小区家政服务预约平台(代码+数据库+LW)
java·数据库·spring boot·后端
zhangfeng113310 小时前
生物信息 R语言和 cytoscape 相互沟通的组件RCy3,构建cytoscape网络表 节点类型表 链接边的表,并推送到cytoscape
数据库·r语言·生物信息
小森( ﹡ˆoˆ﹡ )10 小时前
GPT_Data_Processing_Tutorial
数据库·gpt·mysql
祈祷苍天赐我java之术10 小时前
Redis 热点数据与冷数据解析
java·redis·mybatis