关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 4450|回复: 0

【漏洞通知】JeecgBoot 修复SQL注入风险,漏洞危害等级:高危

[复制链接]
发表于 2023-9-5 11:04:29 | 显示全部楼层 |阅读模式
表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。

JeecgBoot官方已修复,建议大家尽快升级源码,新旧版本都可以参考此方案修复!



一、漏洞描述

表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。漏洞危害等级:高危


二、影响范围
  • jeecgboot 版本 < 3.5.4


三、修复方案

参考 此次漏洞修复PR 合并源码,不兼容的请自行调整。


修改内容
  • 重点针对表名和字段进行单独check处理,更严格的格式要求,可能会导致一些特殊字典用法出问题,请根据自己业务做灵活调整。
  • 后期规划 “准备将字典表的黑名单改成白名单,只有在白名单中配置的表才允许通过表字典的方式查询数据”

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表