java
2024-05-31
2024-05-31
对立有时能比相似更好地说明问题。——歌德
原文链接:
MybatisPlus“ 漏洞 CVE-2024-35548 ”申明 & 探讨 - OSCHINA - 中文开源技术交流社区
MybatisPlus 最新漏洞 CVE-2024-35548 说明,对于各种所谓的漏洞申明,也是让我们很头疼的,
出于使用者和 ORM 设计者的理解不一样产生是否为漏洞的分歧,针对这个问题官方也做了很多的说明:
- 【预防安全漏洞 https://baomidou.com/reference/about-cve/】
- 【数据安全保护 https://baomidou.com/guides/security/】
- MybatisPlus 最新漏洞 CVE-2024-35548 申明
严格意义该问题并不属于真正意义上的漏洞,请问那个 orm 不允许字符串拼接 ??
【不同意该观点可以留言探讨】
提交者也是缺乏基本常识 “SQL 片段” 主动交给前端传入 这是多么 低级的错误甚至低能 的行为。
更何况官方文档多处强调这种行为是不安全的不推荐的,也提供了判断可能存在注入的检查方案,然而提交漏洞者视而不见!
还有 CVE 的权威也是值得怀疑的 没有做严格的审定就判定为漏洞,这也是极其荒唐的行为。
这种所谓的 “漏洞”,给开源项目和用户造成非常大的负面影响和困扰!!
再次号召一些 喜欢 CVE 的人士 不要遇事就 CVE 最好的办法是先解决问题,你的一个行为会为给很多人造成很多负面影响,我们很乐意接收 PR 完善框架
我们很乐意并接受更多社区人员的监督,让 MybatisPlus 更加的安全良性的发展,为更多的人提供一个更好的 orm 使用基座。
看到以下 issue 不知道 CVE 人士作何感想???
https://github.com/baomidou/mybatis-plus/issues/6225