表字典存在 SQL 注入破绽, 近程攻击者可利用该破绽攻打零碎数据库,获取敏感数据或者进行数据库违规操作。
JeecgBoot 官网已修复,倡议大家尽快降级源码,新旧版本都能够参考此计划修复!
一、破绽形容
表字典存在 SQL 注入破绽, 近程攻击者可利用该破绽攻打零碎数据库,获取敏感数据或者进行数据库违规操作。破绽危害等级:高危
二、影响范畴
- jeecgboot 版本 < 3.5.4
三、修复计划
参考 此次破绽修复 PR 合并源码,不兼容的请自行调整。
批改内容
- 重点针对表名和字段进行独自 check 解决,更严格的格局要求,可能会导致一些非凡字典用法出问题,请依据本人业务做灵便调整。
- 前期布局“筹备将字典表的黑名单改成白名单,只有在白名单中配置的表才容许通过表字典的形式查问数据”