表字典存在SQL注入漏洞, 遠(yuǎn)程攻擊者可利用該漏洞攻擊系統(tǒng)數(shù)據(jù)庫，獲取敏感數(shù)據(jù)或者進(jìn)行數(shù)據(jù)庫違規(guī)操作。

JeecgBoot官方已修復(fù)，建議大家盡快升級源碼，新舊版本都可以參考此方案修復(fù)！

一、漏洞描述

表字典存在SQL注入漏洞, 遠(yuǎn)程攻擊者可利用該漏洞攻擊系統(tǒng)數(shù)據(jù)庫，獲取敏感數(shù)據(jù)或者進(jìn)行數(shù)據(jù)庫違規(guī)操作。漏洞危害等級：高危

二、影響范圍

• jeecgboot 版本 < 3.5.4

三、修復(fù)方案

參考?此次漏洞修復(fù)PR?合并源碼，不兼容的請自行調(diào)整。

修改內(nèi)容

• 重點(diǎn)針對表名和字段進(jìn)行單獨(dú)check處理，更嚴(yán)格的格式要求，可能會(huì)導(dǎo)致一些特殊字典用法出問題，請根據(jù)自己業(yè)務(wù)做靈活調(diào)整。

• 后期規(guī)劃 “準(zhǔn)備將字典表的黑名單改成白名單，只有在白名單中配置的表才允許通過表字典的方式查詢數(shù)據(jù)”