MyBatis-Plus 是一个强大的增强型 MyBatis 工具包,用于简化开发。
MyBatis plus 的受影响版本中只是对/core/conditions/AbstractWrapper.java 中的 Column 参数进行简单的字符替换为空格来过滤,会存在绕过,比如注释/**/。
攻击者可利用该漏洞获取隐私数据,恶意操作数据库,甚至接管数据库所在服务器。 这个漏洞会做处理吗? https://www.oscs1024.com/hd/MPS-2022-4629
Comment From: miemieYaho
https://github.com/baomidou/mybatis-plus/issues/4407
Comment From: bigzhouj
这个漏洞会在墨菲安全检测中提示,导致项目方要求修复或者是替换。
Comment From: miemieYaho
本身就不是漏洞谈何修复?