参考链接:
Mybatis-PageHelper SQL注入漏洞(CVE-2022-28111)
Vulnerability Details : CVE-2022-28111
漏洞影响范围:
目前为止的所有版本(截止2011.11.21)
漏洞级别:
阿里云ARMS显示严重
阿里云漏洞库显示中危
cvedetails评分:
备注:
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。
漏洞的最终得分最大为10,最小为0。
得分7~10的漏洞通常被认为比较严重
得分在4~6.9之间的是中级漏洞
得分0~3.9的则是低级漏洞
漏洞描述:
Mybatis-PageHelper是一款分页插件。
Mybatis-PageHelper 1.x.x版本至5.x.x版本存在安全漏洞,该漏洞源于通过orderBy参数存在SQL注入漏洞。
解决方案:
目前厂商暂未发布修复措施(若后续有最新的修复方案,本文档会进行更新)
自有解决方式:
注意代码审核检查orderBy参数有没有被SQL注入的可能性