mybatis +号_【最新漏洞简讯】MyBatis 远程代码执行漏洞(CVE202026945)

最新推荐文章于 2025-07-03 14:37:12 发布
最新推荐文章于 2025-07-03 14:37:12 发布
阅读量837 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: mybatis +号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39872222/article/details/111703515
本文介绍了MyBatis的一个远程代码执行漏洞(CVE-2020-26945),该漏洞源于MyBatis的某个特性,可能导致攻击者利用此缺陷执行任意代码。MyBatis是一款流行持久层框架,提供SQL定制化和映射功能。了解如何避免此类漏洞对企业安全至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

↑ 点击上方“SecMind安全管家”关注我们

情报编号:情报编号:W1520201014

漏洞概述

MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatis。
    MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录

漏洞危害2020年10月6日,MyBatis官方发布了MyBatis 3.5.6版本,修复了一个远程代码执行漏洞,该漏洞编号为CVE-2020-26945。在满足以下三个条件的时候,攻击者可以触发远程代码执行:1、用户启用了内置的二级缓存2、用户未设置JEP-290过滤器3、攻击者找到一种修改私有Map字段条目的方法。影响范围 Mybatis < 3.5.6修复方案目前厂商已发布升级补丁修复漏洞,请受影响用户尽快进行升级加固。补丁获取链接:https://github.com/mybatis/mybatis-3关于我们

上海豌豆信息技术有限公司为企业提供优质的安全服务,

更多资讯请关注官方微信公众号 :

b5dd2e153b3518951d1200c22b4e9d2d.png

           上海豌豆官网:www.wandoutech.com            帮助邮箱:service@wandoutech.com

CVE-2020-26945 —— MyBatis 远程代码执行漏洞
战神/calmness的博客
12-10 1448
目录 MyBatis组件介绍 描述 影响版本 过程 修复建议 CVE-2020-26945 | MyBatis 远程代码执行漏洞 MyBatis组件介绍 MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatisMyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及
SpringBoot+mybatis+Oracle整合代码
08-29
在"SpringBoot+mybatis+Oracle整合代码"中,我们可以学习到以下几个关键知识点: 1. **SpringBoot的自动配置**:SpringBoot的核心特性之一就是自动配置,它能根据项目中的依赖自动配置相应的Bean。在整合MyBatis...
MyBatis 远程代码执行漏洞CVE-2020-26945
开心就好
10-26 4566
We have received another security vulnerability report caused by object stream deserialization. When all of the following conditions are met, the attacker can trigger RCE (remote code execution). the user enabled the built-in 2nd level cache [1] the user d
开源组件漏洞分析-CVE-2024-35548-mybatis-plus存在sql注入漏洞
最新发布
weixin_42050681的博客
07-03 1613
开源组件漏洞分析-CVE-2024-35548-mybatis-plus存在sql注入漏洞规则转换
CVE-2020-26945(Mybatis远程代码执行漏洞)
一支花傲寒的博客
11-21 2484
CVE-2020-26945(Mybatis远程代码执行漏洞)
阿里云 MyBatis 远程代码执行漏洞CVE-2020-26945)修复
hvang1988的专栏
10-22 9078
阿里云 MyBatis 远程代码执行漏洞CVE-2020-26945)修复 1漏洞详情 【安全通报】MyBatis 远程代码执行漏洞CVE-2020-26945)|NOSEC安全讯息平台 - 白帽汇安全研究院 波及 mybatis.jar版本 小于<3.5.6 2、漏洞利用前提条件 在满足以下三个条件的时候,攻击者可以触发远程代码执行: ​ 1、用户启用了内置的二级缓存 ​ 2、用户未设置JEP-290过滤器 ​ 3、攻击者找到了一种修改私有Map字段条目的方法, 即修改or
springmvc+Mybatis+activiti5
08-30
此项目为springmvc、Mybatis、EHcache、maven、Spring security3、activiti5工作流的整合 是一个基于数据库的权限管理demo项目、使用mysql数据库 项目运行前需要构建maven私服 而且有些jar包私服中肯定没有,需要...
ssm后台管理系统框架(Spring mvc + mybatis + mysql + easyui )附mysql数据库
08-12
在本项目中,Mybatis作为数据访问层,负责与MySQL数据库的交互,执行CRUD(创建、读取、更新、删除)操作。 MySQL是一个流行的开源关系型数据库管理系统,具有高性能、易用性和良好的社区支持。在这个SSM项目中,...
spring+struts+mybatis+security+memcached+GBAC权限架构开源项目
11-13
spring+struts+mybatis+security+memcached+GBAC权限架构开源项目, 懂的自己下载看,不懂的就去问懂的,还有就是有的人说上一个版本的代码有点乱,我只能说你站在你的角度看,我站在我的角度写,说明我们有代沟,大概如此...
【第33章】MyBatis-Plus之预防安全漏洞
zjg
07-13 1024
软件漏洞可以对系统造成严重危害,如果被人恶意利用,会导致病毒感染、数据泄漏或损坏的风险,还可能面临直接或间接的经济损失。那么,我们应该如何预防这些漏洞呢?在深入探讨漏洞问题之前,首先需要明确什么是漏洞漏洞是指软件、系统或网络中存在的安全弱点或错误,这些弱点可能导致系统遭受攻击或被不当使用。在计算机安全领域,漏洞通常源于编程错误、设计缺陷或配置失误。对于对象关系映射(ORM)框架来说,漏洞通常指的是设计或实施中的安全问题,这些问题可能让应用程序面临SQL注入攻击的风险。SQL 注入漏洞
mybatis-3.3.0jar包
06-06
mybatis-3.3.0版本所需要的jar包,都在里面,搭建mybatis环境方法可以参考我的博客:http://blog.csdn.net/eson_15/article/details/51592608
MybatisPlus存在 sql 注入漏洞CVE-2023-25330)解决办法
dmlcq的博客
08-02 6434
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞
小心 MybatisPlus 的一个坑
专搞技术的小兔子
07-12 1207
这本是好意,但是在我这个场景有点麻,它完美的复现了上文提到的那个错误使用,在有重复 key 的场景确实报错了,但是被外层 try-catch 拦住了抛错,不过事务上已经打了失败的标了!紧接着它想抛出错误,但是由于被 try catch 了,于是乎正常执行后续的逻辑,等执行到最后,外层要提交事务了,发现当前事务已经被打了回滚的标记,所以提交失败,报了上面的错。我记得以前还听说过一个段子,就是有个人用了一个网上的组件,正常情况下都没事,异常情况下,系统就挂了。
mybatis精讲()--二级缓存
烟花散尽的专栏
12-30 1017
[TOC] 简介 上一章节我们简单了解了二级缓存的配置。今天我们详细分析下二级缓存以及为什么不建议使用二级缓存。 一级缓存针对的是sqlsession。二级缓存针对的是namespace层面的。 配置 之前我们已经提到了配置二级缓存以及配置自定义的二级缓存。下面我们从头开始实现二级缓存。 public Executor newExecutor(Transaction tran...
安装达梦 8.1.2.192,mybatis-3.4.2.jar文件 高危漏洞 CVE-2020-26945 涉及图形界面工具和DEM
curating的博客
06-30 1500
安装达梦 8.1.192,mybatis-3.4.2.jar文件 高危漏洞 CVE-2020-26945 测试mybatis-3.5.13.jar替换可用
如何看待mybatis-plus这个cve漏洞及声明
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 1821
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
mybatisplus版本引发的连接泄漏血案
沉迷Spring的博客
05-19 3650
上周几次接到同事电话说线上环境用户登陆失败,我一查线上日志看到很多Connection timeout的错, 因为我们用到了HikariCP连接池,理论上来说不会出现连接泄漏的问题,我就加了HikariCP的leakDetectionThreshold连接泄漏检测配置。 今晚又被提示说登陆不上了,我一看日志,果真如提前预料的那样也是Connection timeout的错,但是这次竟然日志中没有出现Apparent connection leak detected类似的字样,甚是奇怪。 其实在去年年底的时候
mybatis 3.2.8 动态SQL的bug 你踩坑了么
seriousboy的博客
12-24 353
mybatis 3.2.8 dynamic sql bug <select id="queryStudyCourseList" resultType="cn.resource.study.model.StuCourseDTO"> SELECT stuCid, stuId, stuName, stuNo, pubId, title, totalHours, images, subId FROM study_course WHERE isDeleted=0 <if test="
Mybatis-Plus被恶意CVE一事
weixin_42454225的博客
06-07 1347
Mybatis-Plus框架在2024年5月被人在CVE网络安全漏洞库上提交了漏洞,该漏洞可笑无比,但是有趣的是竟然还是被CVE审核确认为了SQL注入漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值