MyBatis Plus<=3.5.6 存在SQL注入漏洞 (CVE-2024-35548)

漏洞类型 SQL注入 发现时间 2024-05-29 漏洞等级 高危
MPS编号 MPS-mg7u-bw9p CVE编号 CVE-2024-35548 漏洞影响广度

漏洞危害

OSCS 描述
MyBatis Plus 是 MyBatis 的增强工具,用于简化数据库开发,提高开发效率。
受影响版本中,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在SQL注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-mg7u-bw9p

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
com.baomidou:mybatis-plus-core (-∞, 3.5.6] 补丁 官方已发布补丁:https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c
参考链接:https://www.oscs1024.com/hd/MPS-mg7u-bw9p

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-mg7u-bw9p

https://nvd.nist.gov/vuln/detail/CVE-2024-35548

https://github.com/baomidou/mybatis-plus/issues/6167

https://github.com/baomidou/mybatis-plus/commit/1c5ef2cfb6fe2ae125539646dc07322886585f6c

(0)
上一篇 2024年5月30日
下一篇 2024年6月4日

相关推荐

  • Cacti<1.2.25 reports_user.php SQL注入漏洞 (CVE-2023-39358)

    漏洞类型 SQL注入 发现时间 2023-09-06 漏洞等级 严重 MPS编号 MPS-9wzi-k37j CVE编号 CVE-2023-39358 漏洞影响广度 小 漏洞危害 OSCS 描述 Cacti 是一个开源的操作监控和故障管理框架。 Cacti 1.2.25之前版本中由于 reports_user.php 中的 ajax_get_branches…

    2023年9月7日
    0
  • Smartbi 商业智能BI软件权限绕过漏洞【细节公开】

    漏洞类型 通过用户控制密钥绕过授权机制 发现时间 2023/8/1 漏洞等级 严重 MPS编号 MPS-el01-w76v CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在权限绕过问题,未授…

    2023年8月11日
    0
  • Apache bRPC 存在http请求走私风险 (CVE-2024-23452)

    漏洞类型 HTTP请求走私 发现时间 2024-02-08 漏洞等级 中危 MPS编号 MPS-2glc-5ao0 CVE编号 CVE-2024-23452 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache bRPC 是百度开源的工业级 RPC 框架,常用于搜索、存储、机器学习等高性能系统。 Apache bRPC 0.9.5至1.7.0版本中由于…

    2024年2月9日
    0
  • 禅道项目管理系统身份认证绕过风险 (MPS-djcs-koe8)

    漏洞类型 身份验证不当 发现时间 2024-04-26 漏洞等级 高危 MPS编号 MPS-djcs-koe8 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能。…

    漏洞 2024年4月26日
    0
  • Smartbi windowUnloading 限制绕过导致远程代码执行 (MPS-e2z8-wdi6)【有POC】

    漏洞类型 授权机制不恰当 发现时间 2023-08-22 漏洞等级 严重 MPS编号 MPS-e2z8-wdi6 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是思迈特软件旗下的一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用数据进行决策。Smartbi V6及其以上版本的 /smartbi/…

    2023年8月23日
    0