xfeng: "MyBatis Plus<=3.5.6 存在SQL注入漏洞# MyBatis Plus<=3.5.6 存在S"

Note

MyBatis Plus<=3.5.6 存在SQL注入漏洞

# MyBatis Plus<=3.5.6 存在SQL注入漏洞

- CVE编号: CVE-2024-35548
- 危害定级: 高危
- 漏洞标签: 发布预警公开漏洞
- 披露日期: 2024-05-29
- 推送原因: 漏洞创建
- 信息来源: https://www.oscs1024.com/hd/MPS-mg7u-bw9p

### 漏洞描述
MyBatis Plus 是 MyBatis 的增强工具，用于简化数据库开发，提高开发效率。
受影响版本中，由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在SQL注入漏洞，攻击者可基于布尔盲注窃取数据库敏感信息。

### 修复方案
1. 官方已发布补丁：https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

### 参考链接
1. https://www.oscs1024.com/hd/MPS-mg7u-bw9p
2. https://nvd.nist.gov/vuln/detail/CVE-2024-35548
3. https://github.com/baomidou/mybatis-plus/issues/6167
4. https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

### 开源检索
暂未找到

Oscs1024
OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全
OSCS（开源软件供应链安全社区）致力于提升开源生态安全，通过发起《开源生态安全守护计划》联合开源社区的开发者们一起构建一个开源软件供应链的生态治理环境。

Telegram Channel

2024-06-03T08:17:57.000Z

0

0

...

...

...