PT-2022-18817 · Unknown · Mybatis Pagehelper
Abel533
·
Publicado
2022-05-04
·
Atualizado
2022-12-12
·
CVE-2022-28111
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MyBatis PageHelper, versões 1.x.x a 5.3.x
Descrição
Foi descoberta uma vulnerabilidade de injeção de SQL independente de tempo no MyBatis PageHelper por meio do parâmetro
orderBy. Esse problema permite possíveis ataques de injeção de SQL.Recomendações
Para as versões 1.x.x a 5.3.x do MyBatis PageHelper, considere restringir o acesso ao parâmetro
orderBy para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro orderBy em consultas confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mybatis Pagehelper