Skip to content

关于 CVE-2022-28111漏洞!!! #674

Closed
@abel533

Description

这种漏洞应该在调用方通过正则或者白名单处理,有些人的需求会用到函数等各种复杂排序,因此分页插件不做校验。

如果你从前端传递一个 SQL 用 JDBC 原生方式执行,你是不是发现了一个天大的漏洞?

如果JDBC不做处理,是不是就不用 JDBC 了?

如果这个漏洞会影响你们项目选择分页插件,可以在当前 issues 留言,如果留言人数很多,下个版本可以把 order by 功能去掉。

影响所有版本?瞎写!!!

下面是和排序有关的更新日志。

3.6.0 - 2015-02-03

  • PageHelper增加了startPage(int pageNum, int pageSize,String orderBy)方法(3.7.0版本以后,移除了该方法),针对sqlserver

3.7.0 - 2015-04-21

  • 由于orderby参数经常被错误认为的使用,因此该版本全面移除了orderby
  • Page<E>移除orderby属性
  • PageHelper的startPage方法中,移除包含orderby参数的方法,sqlserver相关包含该参数的全部移除

4.0.0 - 2015-07-13

  • 可以单独使用PageHelper.orderBy(String orderBy)对查询语句增加排序,也可以配合startPage的其他方法使用
  • 可以使用PageHelper.startPage(int start,int size,String orderBy)对分页查询进行排序

5.0.0 - 2017-01-02

  • 去掉了不适合出现在分页插件中的 orderby 功能,以后会提供单独的排序插件

5.1.0 - 2017-08-28

  • 增加 4.x 以前版本包含的排序功能,用法一致(PageHelper增加了几个排序相关的方法)

现在有人乱用还提交漏洞,近期会简单处理 order by

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions