MyBatis-Plus 漏洞?

当前使用版本(必填,否则不予处理)

3.5.2

该问题是如何引起的？(确定最新版也有问题再提!!!)

CVE-2022-25517

重现步骤(如果有就写完整)

报错信息

MyBatis plus was discovered to contain a SQL injection vulnerability via the "Column" parameter in "/core/conditions/AbstractWrapper.java".

Comment From: qmdx

并非漏洞，字段列应该是固定字段，哪怕是字符也是由开发者自己控制的，如果硬要说是漏洞那么任何 ORM 都存在漏洞