您现在的位置是：首页 > 文章详情

MybatisPlus“ 漏洞 CVE-2024-35548 ”申明 & 探讨

日期：2024-05-31点击：211收藏

MybatisPlus 最新漏洞 CVE-2024-35548 说明，对于各种所谓的漏洞申明，也是让我们很头疼的，

出于使用者和 ORM 设计者的理解不一样产生是否为漏洞的分歧，针对这个问题官方也做了很多的说明：

严格意义该问题并不属于真正意义上的漏洞，请问那个 orm 不允许字符串拼接？？

【不同意该观点可以留言探讨】

提交者也是缺乏基本常识 “ SQL 片段 ” 主动交给前端传入 这是多么 低级的错误甚至低能 的行为。

更何况官方文档多处强调这种行为是不安全的不推荐的，也提供了判断可能存在注入的检查方案，然而提交漏洞者视而不见！

还有 CVE 的权威也是值得怀疑的 没有做严格的审定就判定为漏洞，这也是极其荒唐的行为。

再次号召一些 喜欢 CVE 的人士 不要遇事就 CVE 最好的办法是先解决问题，你的一个行为会为给很多人造成很多负面影响，我们很乐意接收 PR 完善框架

我们很乐意并接受更多社区人员的监督，让 MybatisPlus 更加的安全良性的发展，为更多的人提供一个更好的 orm 使用基座。

看到以下issue 不知道 CVE 人士作何感想？？？

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。

Java分享