New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
关于 CVE-2022-28111漏洞!!! #674
Comments
并不觉得是分页插件的问题,如果需要前端传递SQL 应该由开发者自己校验 |
代码层面上没有问题,主要是CVE不过,项目没办法投产 |
@Lee0609x 你们通过什么软件检测的漏洞?我用工具检测是正常的。 提交漏洞的人的示例中,是业务层的漏洞,不是分页插件的,应该只有它的写法才有漏洞,和插件无关。 |
dependency check 会显示这个CVE,影响发布 |
同样CVE不过,无法发布 |
无解了 |
Order By 字符串拼接SQL的功能还是去掉吧,要排序手写SQL拉倒 https://www.cnblogs.com/secload/articles/16061420.html |
新版本限制了order by,但是目前检测新版本仍然会提示该漏洞。 @Lee0609x @WingsOfPiano @xjjaid13 你们使用新版本有问题吗? |
这个根本不是PageHelper的问题。 |
插件做校验也不算多此一举,不去掉的话,修下漏洞就好了啊。 这么看的话,插件里就是有这个漏洞。即使业务代码不使用,依赖pageHelper了就有这个漏洞。 |
@forzjing 漏洞瞎提的,版本都不对。。新版本已经解决了,但是漏洞检测没用。 |
是不是要去这上面提交一下变更。 |
建议去CVE反馈一下。 |
是怎样的写法,才有漏洞呢? |
这种漏洞应该在调用方通过正则或者白名单处理,有些人的需求会用到函数等各种复杂排序,因此分页插件不做校验。
如果你从前端传递一个 SQL 用 JDBC 原生方式执行,你是不是发现了一个天大的漏洞?
如果JDBC不做处理,是不是就不用 JDBC 了?
如果这个漏洞会影响你们项目选择分页插件,可以在当前 issues 留言,如果留言人数很多,下个版本可以把
order by
功能去掉。影响所有版本?瞎写!!!
下面是和排序有关的更新日志。
3.6.0 - 2015-02-03
3.7.0 - 2015-04-21
Page<E>
移除orderby属性4.0.0 - 2015-07-13
5.0.0 - 2017-01-02
5.1.0 - 2017-08-28
现在有人乱用还提交漏洞,近期会简单处理 order by
The text was updated successfully, but these errors were encountered: