关于MyBatis远程代码执行漏洞的预警提示

一、漏洞详情

MyBatis是美国阿帕奇（Apache）软件基金会的一款优秀的持久层框架。支持自定义SQL、存储过程以及高级映射，免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作，可以通过简单的XML或注解来配置和映射原始类型、接口和Java POJO（Plain Old Java Objects，普通老式Java对象）为数据库中的记录，在国内被广泛使用。该漏洞影响范围广，风险性高，为避免业务受影响，建议受影响的用户尽快升级至安全版本，做好资产自查及预防工作，避免被外部攻击者入侵。

MyBatis 3.5.6之前版本存在安全漏洞，该漏洞源于错误处理对象流的反序列化。

该漏洞被成功利用，需满足以下的前提条件：

1、用户启用了内置的二级缓存；

2、用户未设置JEP-290过滤器；

3、攻击者获取了修改私有Map字段条目的方法，即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥。

二、影响范围

Mybatis < 3.5.6

三、修复建议

目前官方已发布升级补丁修复漏洞，建议受影响的用户尽快更新升级，以免遭受恶意攻击。更新升级前，请进行全面的应用程序功能及UI测试。

下载地址：https://github.com/mybatis/mybatis-3