对立有时能比相似更好地说明问题。——歌德

原文链接:

MybatisPlus“ 漏洞 CVE-2024-35548 ”申明 & 探讨 - OSCHINA - 中文开源技术交流社区

MybatisPlus 最新漏洞 CVE-2024-35548 说明,对于各种所谓的漏洞申明,也是让我们很头疼的,

出于使用者和 ORM 设计者的理解不一样产生是否为漏洞的分歧,针对这个问题官方也做了很多的说明:

严格意义该问题并不属于真正意义上的漏洞,请问那个 orm 不允许字符串拼接 ??

【不同意该观点可以留言探讨】

提交者也是缺乏基本常识 “SQL 片段” 主动交给前端传入 这是多么 低级的错误甚至低能 的行为。

更何况官方文档多处强调这种行为是不安全的不推荐的,也提供了判断可能存在注入的检查方案,然而提交漏洞者视而不见!

还有 CVE 的权威也是值得怀疑的 没有做严格的审定就判定为漏洞,这也是极其荒唐的行为。

这种所谓的 “漏洞”,给开源项目和用户造成非常大的负面影响和困扰!!

再次号召一些 喜欢 CVE 的人士 不要遇事就 CVE 最好的办法是先解决问题,你的一个行为会为给很多人造成很多负面影响,我们很乐意接收 PR 完善框架

我们很乐意并接受更多社区人员的监督,让 MybatisPlus 更加的安全良性的发展,为更多的人提供一个更好的 orm 使用基座。

看到以下 issue 不知道 CVE 人士作何感想???

https://github.com/baomidou/mybatis-plus/issues/6225

相关链接