MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

漏洞描述

MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。

收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。

Column 1 Column 2
漏洞名称 MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
漏洞类型 SQL 注入
发现时间 2024-05-29
漏洞影响广度 -
MPS 编号 MPS-mg7u-bw9p
CVE 编号 CVE-2024-35548
CNVD 编号 -

影响范围

mybatis-plus@(-∞, 3.5.6]

com.baomidou:mybatis-plus-core@(-∞, 3.5.6]

官方补丁:https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

相关推荐
新手小白*1 分钟前
Redis Sentinel哨兵集群
数据库·redis·sentinel
一 乐3 分钟前
商城推荐系统|基于SprinBoot+vue的商城推荐系统(源码+数据库+文档)
前端·数据库·vue.js·spring boot·后端·商城推荐系统
羑悻的小杀马特38 分钟前
从零搭建群晖私有影音库:NasTool自动化追剧全流程拆解与远程访问协议优化实践
运维·数据库·自动化
后端小张1 小时前
【JAVA 进阶】Mybatis-Plus 实战使用与最佳实践
java·spring boot·spring·spring cloud·tomcat·mybatis·mybatis plus
TDengine (老段)3 小时前
杨凌美畅用 TDengine 时序数据库,支撑 500 条产线 2 年历史数据追溯
大数据·数据库·物联网·时序数据库·tdengine·涛思数据
葛小白16 小时前
C#数据类型:string简单使用
服务器·数据库·c#
污斑兔6 小时前
MongoDB的$sample是啥?
数据库·mongodb
马丁的代码日记7 小时前
MySQL InnoDB 行锁与死锁排查实战演示
数据库·mysql
拍客圈8 小时前
数据主站+副站做的设置
数据库
计算机学长felix9 小时前
基于SpringBoot的“面向校园的助力跑腿系统”的设计与实现(源码+数据库+文档+PPT)
数据库·spring boot·后端