2024年5月29日,网上公开披露了一个MyBatis Plus<=3.5.6 存在SQL注入漏洞(CVE-2024-35548),MyBatis Plus 是 MyBatis 的增强工具,用于简化数据库开发,提高开发效率,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在SQL注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。
风险等级:高风险。
影响范围:
mybatis-plus@(-∞, 3.5.6]
com.baomidou:mybatis-plus-core@(-∞, 3.5.6]
修复建议:
目前官方已发布补丁
进行安全更新方法:
https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c
