Описание
A SQL injection vulnerability in Mybatis plus below 3.5.3.1 allows remote attackers to execute arbitrary SQL commands via the tenant ID valuer. NOTE: the vendor's position is that this can only occur in a misconfigured application; the documentation discusses how to develop applications that avoid SQL injection.
Ссылки
- ExploitThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 3.5.3.1 (исключая)
cpe:2.3:a:mybatis:mybatis:*:*:*:*:*:*:*:*
EPSS
Процентиль: 69%
0.00613
Низкий
9.8 Critical
CVSS3
Дефекты
CWE-89
Связанные уязвимости
CVSS3: 9.8
github
почти 3 года назад
MyBatis-Plus vulnerable to SQL injection via TenantPlugin
EPSS
Процентиль: 69%
0.00613
Низкий
9.8 Critical
CVSS3
Дефекты
CWE-89