表字典存在SQL注入漏洞, 遠程攻擊者可利用該漏洞攻擊系統數據庫,獲取敏感數據或者進行數據庫違規操作。
JeecgBoot官方已修復,建議大家儘快升級源碼,新舊版本都可以參考此方案修復!
一、漏洞描述
表字典存在SQL注入漏洞, 遠程攻擊者可利用該漏洞攻擊系統數據庫,獲取敏感數據或者進行數據庫違規操作。漏洞危害等級:高危
二、影響範圍
- jeecgboot 版本 < 3.5.4
三、修復方案
參考 此次漏洞修復PR 合併源碼,不兼容的請自行調整。
修改內容
- 重點針對表名和字段進行單獨check處理,更嚴格的格式要求,可能會導致一些特殊字典用法出問題,請根據自己業務做靈活調整。
- 後期規劃 “準備將字典表的黑名單改成白名單,只有在白名單中配置的表才允許通過表字典的方式查詢數據”