网络安全
联系我们
网络报修:0516-83262197
网络科:0516-83262220
信息科:0516-83262051
安全资讯
【漏洞预警】关于MyBatis远程代码执行漏洞的预警提示
发布时间:2020年10月14日 09:13发布人:胡杨访问次数:

关于MyBatis远程代码执行漏洞的预警提示


一、漏洞详情

MyBatis是美国阿帕奇(Apache)软件基金会的一款优秀的持久层框架。支持自定义SQL、存储过程以及高级映射,免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作,可以通过简单的XML或注解来配置和映射原始类型、接口和Java POJO(Plain Old Java Objects,普通老式Java对象)为数据库中的记录,在国内被广泛使用。该漏洞影响范围广,风险性高,为避免业务受影响,建议受影响的用户尽快升级至安全版本,做好资产自查及预防工作,避免被外部攻击者入侵。

MyBatis 3.5.6之前版本存在安全漏洞,该漏洞源于错误处理对象流的反序列化。

该漏洞被成功利用,需满足以下的前提条件:

1、用户启用了内置的二级缓存;

2、用户未设置JEP-290过滤器;

3、攻击者获取了修改私有Map字段条目的方法,即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥。


二、影响范围

Mybatis < 3.5.6


三、修复建议

目前官方已发布升级补丁修复漏洞,建议受影响的用户尽快更新升级,以免遭受恶意攻击。更新升级前,请进行全面的应用程序功能及UI测试。

下载地址:https://github.com/mybatis/mybatis-3