如何看待mybatis-plus这个cve漏洞及声明

最新推荐文章于 2025-07-03 14:37:12 发布
原创 最新推荐文章于 2025-07-03 14:37:12 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

一、漏洞概述

MyBatis-Plus的CVE漏洞,特别是CVE-2023-25330,涉及MyBatis-Plus TenantPlugin组件。该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。

二、漏洞影响

  1. 影响范围:该漏洞影响MyBatis-Plus TenantPlugin 3.5.3.1及之前的版本,尤其是当TenantPlugin启用且tenant ID可由外部用户控制时。
  2. 漏洞利用方式:攻击者可以通过控制tenant ID的值,构造恶意的SQL语句,从而实现对数据库的非法访问和操作。
  3. 潜在后果:一旦攻击者成功利用此漏洞,他们可能会获取到敏感数据、篡改数据或执行其他恶意操作,对系统的安全性和稳定性造成严重威胁。

三、解决方案

  1. 升级版本:建议开发者尽快升级到MyBatis-Plus的最新版本,特别是针对TenantPlugin组件的修复版本。新版本已经对tenant ID的过滤进行了加强,从而避免了此漏洞的利用。
  2. 过滤tenant ID:如果由于某些原因无法立即升级版本,开发者可以通过在代码中添加对tenant ID的过滤来缓解此漏洞。确保所有来自外部用户的输入都经过严格的验证和过滤,防止恶意SQL语句的注入。
  3. 遵循最佳实践:除了上述解决方案外,开发者还应遵循最佳实践来降低安全风险。例如,使用参数化查询代替字符串拼接构建SQL语句,避免将用户输入直接嵌入到SQL语句中;对来自外部用户的输入进行充分的合法性校验等。

四、声明的重要性

针对MyBatis-Plus的CVE漏洞的声明对于开发者来说非常重要。它提醒了开发者注意潜在的安全风险,并提供了解决方案和最佳实践来帮助他们保护系统的安全性。因此,开发者应密切关注相关声明和公告,及时了解并应对可能存在的安全风险。

MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。

CVE-2020-26945 —— MyBatis 远程代码执行漏洞
战神/calmness的博客
12-10 1448
目录 MyBatis组件介绍 描述 影响版本 过程 修复建议 CVE-2020-26945 | MyBatis 远程代码执行漏洞 MyBatis组件介绍 MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatisMyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及
MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
xixixixixixixi21的博客
06-05 876
收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。
开源组件漏洞分析-CVE-2024-35548-mybatis-plus存在sql注入漏洞
weixin_42050681的博客
07-03 1613
开源组件漏洞分析-CVE-2024-35548-mybatis-plus存在sql注入漏洞规则转换
MybatisPlus存在 sql 注入漏洞CVE-2023-25330)解决办法
dmlcq的博客
08-02 6434
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞
【第33章】MyBatis-Plus之预防安全漏洞
zjg
07-13 1024
软件漏洞可以对系统造成严重危害,如果被人恶意利用,会导致病毒感染、数据泄漏或损坏的风险,还可能面临直接或间接的经济损失。那么,我们应该如何预防这些漏洞呢?在深入探讨漏洞问题之前,首先需要明确什么是漏洞漏洞是指软件、系统或网络中存在的安全弱点或错误,这些弱点可能导致系统遭受攻击或被不当使用。在计算机安全领域,漏洞通常源于编程错误、设计缺陷或配置失误。对于对象关系映射(ORM)框架来说,漏洞通常指的是设计或实施中的安全问题,这些问题可能让应用程序面临SQL注入攻击的风险。SQL 注入漏洞
Mybatis-Plus被恶意CVE一事
weixin_42454225的博客
06-07 1347
Mybatis-Plus框架在2024年5月被人在CVE网络安全漏洞库上提交了漏洞,该漏洞可笑无比,但是有趣的是竟然还是被CVE审核确认为了SQL注入漏洞
mybatis-plus 3.5.3.1 漏洞
08-19
我们正在讨论MyBatis-Plus 3.5.3.1版本的安全漏洞CVE-2023-25330)。根据引用[2],这个漏洞存在于TenantPlugin(租户插件)组件中,是一个SQL注入漏洞。该漏洞已被发现并存在公开的概念验证(POC)。 ### 漏洞...
mybatis-plus-boot-starter 3.5.3.1 漏洞
最新发布
08-19
现在,用户直接询问这个特定版本(mybatis-plus-boot-starter 3.5.3.1)的安全漏洞情况。 需要明确的是,mybatis-plus-boot-starter 3.5.3.1 是MyBatis-Plus的一个启动器,它内部包含了mybatis-plus-core等依赖。...
mybatis-spring-boot-starter 2.1.3 漏洞
08-19
而我们知道,MyBatis核心在3.5.6及之前版本存在一个高危漏洞CVE-2020-26945(OGNL表达式注入导致远程代码执行)。因此,如果mybatis-spring-boot-starter 2.1.3传递依赖了MyBatis 3.5.6或更早版本,那么使用该...
mybatis-spring 2.0.7 漏洞
08-19
补充:另一个相关漏洞CVE-2024-35548(MyBatis Plus漏洞)与MyBatis-Spring无关。 因此,回答用户: - MyBatis-Spring 2.0.7本身没有独立漏洞,但因为它通常搭配有漏洞MyBatis核心(如3.5.4),所以存在间接...
小心 MybatisPlus 的一个坑
专搞技术的小兔子
07-12 1207
这本是好意,但是在我这个场景有点麻,它完美的复现了上文提到的那个错误使用,在有重复 key 的场景确实报错了,但是被外层 try-catch 拦住了抛错,不过事务上已经打了失败的标了!紧接着它想抛出错误,但是由于被 try catch 了,于是乎正常执行后续的逻辑,等执行到最后,外层要提交事务了,发现当前事务已经被打了回滚的标记,所以提交失败,报了上面的错。我记得以前还听说过一个段子,就是有个人用了一个网上的组件,正常情况下都没事,异常情况下,系统就挂了。
阿里云 MyBatis 远程代码执行漏洞CVE-2020-26945)修复
hvang1988的专栏
10-22 9078
阿里云 MyBatis 远程代码执行漏洞CVE-2020-26945)修复 1、漏洞详情 【安全通报】MyBatis 远程代码执行漏洞CVE-2020-26945)|NOSEC安全讯息平台 - 白帽汇安全研究院 波及 mybatis.jar版本 小于<3.5.6 2、漏洞利用前提条件 在满足以下三个条件的时候,攻击者可以触发远程代码执行: ​ 1、用户启用了内置的二级缓存 ​ 2、用户未设置JEP-290过滤器 ​ 3、攻击者找到了一种修改私有Map字段条目的方法, 即修改or
mybatisplus版本引发的连接泄漏血案
沉迷Spring的博客
05-19 3650
上周几次接到同事电话说线上环境用户登陆失败,我一查线上日志看到很多Connection timeout的错, 因为我们用到了HikariCP连接池,理论上来说不会出现连接泄漏的问题,我就加了HikariCP的leakDetectionThreshold连接泄漏检测配置。 今晚又被提示说登陆不上了,我一看日志,果真如提前预料的那样也是Connection timeout的错,但是这次竟然日志中没有出现Apparent connection leak detected类似的字样,甚是奇怪。 其实在去年年底的时候
MyBatis 远程代码执行漏洞CVE-2020-26945
开心就好
10-26 4566
We have received another security vulnerability report caused by object stream deserialization. When all of the following conditions are met, the attacker can trigger RCE (remote code execution). the user enabled the built-in 2nd level cache [1] the user d
MybatisPlus <= 3.5.3.1 TenantPlugin 组件 存在 sql 注入漏洞CVE-2023-25330)
murphysec的博客
04-11 4451
MyBatis-Plus TenantPlugin 是 MyBatis-Plus 的一个为多租户场景而设计的插件,可以在 SQL 中自动添加租户 ID 来实现数据隔离功能。 MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行
要注意了!这样使用MyBatis框架,被攻击了!
weixin_47067712的博客
07-23 513
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文
mybatis-plus缓存bug分析
分享各种技术
03-23 1152
前段时间在使用mybatis-plus的过程中,发现了一些bug(最新版本均已修复),现在分享一下;
记录一个若依改造Mybatis-Plus的Bug
qq_42486355的博客
03-06 189
最近想把现有的一个基于若依框架的开发的项目的Mapper层改造成用Mybatis-Plus框架,遇到了一个挺有意思的Bug,特发出来和大家分享。在进行application.yml改造的过程中,没太注意具体提示,直接按enter了。这二者在用法上到底有什么区别,欢迎大神在评论留言。然后一直提示我扫描不到xml,然后修改为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

纵然间

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值