MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

MyBatis Plus<=3.5.6 存在 SQL 注入漏洞

漏洞描述

MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。

收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。

Column 1 Column 2
漏洞名称 MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
漏洞类型 SQL 注入
发现时间 2024-05-29
漏洞影响广度 -
MPS 编号 MPS-mg7u-bw9p
CVE 编号 CVE-2024-35548
CNVD 编号 -

影响范围

mybatis-plus@(-∞, 3.5.6]

com.baomidou:mybatis-plus-core@(-∞, 3.5.6]

官方补丁:https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

相关推荐
时序数据说2 小时前
为什么时序数据库IoTDB选择Java作为开发语言
java·大数据·开发语言·数据库·物联网·时序数据库·iotdb
戒不掉的伤怀2 小时前
【Navicat 连接MySQL时出现错误1251:客户端不支持服务器请求的身份验证协议;请考虑升级MySQL客户端】
服务器·数据库·mysql
cv高级工程师YKY2 小时前
服务器 - - QPS与TPS介绍
数据库
nbsaas-boot2 小时前
高可扩展属性建模设计:架构师的全局思考与落地方案
数据库
爱上语文2 小时前
Redis基础(5):Redis的Java客户端
java·开发语言·数据库·redis·后端
陈敬雷-充电了么-CEO兼CTO3 小时前
推荐算法系统系列>推荐数据仓库集市的ETL数据处理
大数据·数据库·数据仓库·数据挖掘·数据分析·etl·推荐算法
MeshddY3 小时前
(超详细)数据库项目初体验:使用C语言连接数据库完成短地址服务(本地运行版)
c语言·数据库·单片机
wuxinyan1233 小时前
Java面试题033:一文深入了解MySQL(5)
java·数据库·mysql·面试
萧曵 丶3 小时前
Spring @TransactionalEventListener
java·数据库·spring·事务·transactional·异步
胡斌附体4 小时前
mobaxterm终端sqlplus乱码问题解决
数据库·乱码·sqlplus·字符集设置