表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。
JeecgBoot官方已修复,建议大家尽快升级源码,新旧版本都可以参考此方案修复!
一、漏洞描述表字典存在SQL注入漏洞, 远程攻击者可利用该漏洞攻击系统数据库,获取敏感数据或者进行数据库违规操作。漏洞危害等级:高危
二、影响范围
三、修复方案参考 此次漏洞修复PR 合并源码,不兼容的请自行调整。
修改内容- 重点针对表名和字段进行单独check处理,更严格的格式要求,可能会导致一些特殊字典用法出问题,请根据自己业务做灵活调整。
- 后期规划 “准备将字典表的黑名单改成白名单,只有在白名单中配置的表才允许通过表字典的方式查询数据”
| 
窥视卡
雷达卡
发表于 2023-9-5 11:04:29
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡