MybatisPlus“ 漏洞 CVE-2024-35548 ”申明 & 探讨-低调大师

MybatisPlus“ 漏洞 CVE-2024-35548 ”申明 & 探讨

2024-05-31 342

MybatisPlus 最新漏洞 CVE-2024-35548 说明，对于各种所谓的漏洞申明，也是让我们很头疼的，

出于使用者和 ORM 设计者的理解不一样产生是否为漏洞的分歧，针对这个问题官方也做了很多的说明：

严格意义该问题并不属于真正意义上的漏洞，请问那个 orm 不允许字符串拼接？？

【不同意该观点可以留言探讨】

提交者也是缺乏基本常识 “ SQL 片段 ” 主动交给前端传入 这是多么 低级的错误甚至低能 的行为。

更何况官方文档多处强调这种行为是不安全的不推荐的，也提供了判断可能存在注入的检查方案，然而提交漏洞者视而不见！

还有 CVE 的权威也是值得怀疑的 没有做严格的审定就判定为漏洞，这也是极其荒唐的行为。

这种所谓的 “ 漏洞 ”，给开源项目和用户造成非常大的负面影响和困扰！！

再次号召一些 喜欢 CVE 的人士 不要遇事就 CVE 最好的办法是先解决问题，你的一个行为会为给很多人造成很多负面影响，我们很乐意接收 PR 完善框架

我们很乐意并接受更多社区人员的监督，让 MybatisPlus 更加的安全良性的发展，为更多的人提供一个更好的 orm 使用基座。

看到以下issue 不知道 CVE 人士作何感想？？？

https://github.com/baomidou/mybatis-plus/issues/6225

微信关注我们

原文链接：https://www.oschina.net/news/295115

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

UJCMS 9.1.4 发布，国内开源 Java CMS

更新日志修复jar包需要解压才可运行的问题修复上传视频时无法自动获取视频图片问题修复用户等级问题简介 Java 开源内容管理系统 (java cms)、Java 建站系统。使用 SpringBoot、MyBatis、Spring Security、Lucene、FreeMarker、TypeScript、Vue3、ElementPlus 等技术开发。支持无头 CMS，使用模板 (Freemarker)+ 标签方式或使用 Vue (React)+API 方式制作网站均可。使用Apache-2.0开源协议，可免费用于商业网站。支持多站点功能。技术上尽量选择主流、先进、简单的架构，方便用户进行二次开发。设计上强调 “简单”、“灵活”，避免繁杂的设计和实现，降低系统维护成本和二次开发难度。功能使用上也要求 “简单”，避免复杂的使用逻辑。官网地址：https://www.ujcms.com 下载地址：https://www.ujcms.com/download/提供安装包下载。演示站前台：https://demo.ujcms.com使用手机访问或者浏览器手机模式访问前台，会自动...

2024-05-31

291

在刚刚过去的五月，Bun团队只发布了三个小版本更新（v1.1.8、v1.1.9和v1.1.10），在不断优化性能和提升稳定性的同时，也为开发者带来了许多新的功能和改进。这些更新不仅修复了大量的bug，还对关键功能进行了显著的优化，尤其是fetch函数的内存使用效率。主要更新内容概述这三次更新总共修复了超过140个bug，涉及从Windows平台稳定性到Node.js兼容性的各个方面。以下是几个关键改进：异常处理改进：添加了对process.on("uncaughtException")和process.on("unhandledRejection")的支持，提升了应用程序的错误处理能力。性能优化：多项功能性能提升显著，例如JSON.parse速度加快，atob()函数提速8倍，toString('base64url')提速5倍，fetch()函数提速并减少内存使用。新功能添加：新增了dns.prefetch() API和expect().toBeReturned() matcher，进一步丰富了Bun的功能集。 Windows改进：解决了多个Windows平台上的兼容性问题，...

2024-05-31

307

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。