MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

漏洞描述

MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。

收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。

Column 1 Column 2
漏洞名称 MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
漏洞类型 SQL 注入
发现时间 2024-05-29
漏洞影响广度 -
MPS 编号 MPS-mg7u-bw9p
CVE 编号 CVE-2024-35548
CNVD 编号 -

影响范围

mybatis-plus@(-∞, 3.5.6]

com.baomidou:mybatis-plus-core@(-∞, 3.5.6]

官方补丁:https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

相关推荐
数据智能老司机8 小时前
CockroachDB权威指南——CockroachDB SQL
数据库·分布式·架构
数据智能老司机8 小时前
CockroachDB权威指南——开始使用
数据库·分布式·架构
松果猿9 小时前
空间数据库学习(二)—— PostgreSQL数据库的备份转储和导入恢复
数据库
无名之逆9 小时前
Rust 开发提效神器:lombok-macros 宏库
服务器·开发语言·前端·数据库·后端·python·rust
s9123601019 小时前
rust 同时处理多个异步任务
java·数据库·rust
数据智能老司机9 小时前
CockroachDB权威指南——CockroachDB 架构
数据库·分布式·架构
hzulwy9 小时前
Redis常用的数据结构及其使用场景
数据库·redis
程序猿熊跃晖10 小时前
解决 MyBatis-Plus 中 `update.setProcInsId(null)` 不生效的问题
数据库·tomcat·mybatis
Hars、Wlgb10 小时前
mybatis 自带的几个插入接口的区别
mybatis
Three~stone11 小时前
MySQL学习集--DDL
数据库·sql·学习