表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。
JeecgBoot官方已修复,建议大家尽快升级源码,新旧版本都可以参考此方案修复!
一、漏洞描述
表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。漏洞危害等级:高危
二、影响范围
- jeecgboot 版本 < 3.5.4
三、修复方案
参考 此次漏洞修复PR 合并源码,不兼容的请自行调整。
修改内容
- 重点针对表名和字段进行单独check处理,更严格的格式要求,可能会导致一些特殊字典用法出问题,请根据自己业务做灵活调整。
- 后期规划 “准备将字典表的黑名单改成白名单,只有在白名单中配置的表才允许通过表字典的方式查询数据”
标签:
jeecgboot
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2022-09-05 autpoi 1.4.3版本发布—Excel傻瓜式API,快速实现Excel导入导出、Word模板导出
2022-09-05 Jeewx-api 1.4.9版本发布—第三方APP开发SDK,支持微信、钉钉、企业微信、小程序等
2022-09-05 MiniDao1.9.0 版本发布,轻量级Java持久化框架
2022-09-05 vue3项目debugger调试看不到源码-jeecgboot