MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatis。
MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的xml或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java object,普通的 Java对象)映射成数据库中的记录。
2020年10月6日,MyBatis官方发布了MyBatis 3.5.6版本,修复了一个远程代码执行漏洞,该漏洞编号为CVE-2020-26945。
在满足以下三个条件的时候,攻击者可以触发远程代码执行:
1、用户启用了内置的二级缓存
2、用户未设置JEP-290过滤器
3、攻击者找到了一种修改私有Map字段条目的方法,即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥
CVE 编号
CVE-2020-26945
影响范围
- Mybatis < 3.5.6
修复建议
-
目前厂商已发布升级补丁修复漏洞,请受影响用户尽快进行升级加固。补丁获取链接:
参考
[1].https://github.com/mybatis/mybatis-3/pull/2079
[2].https://mp.weixin.qq.com/s/dZeGgcFHo729_tzqQ5mC1g
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。