1. 极安网首页
  2. 网络安全新闻

MyBatis远程代码执行漏洞(CVE-2020-26945)

MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatis 。

MyBatis组件介绍

MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。

MyBatis漏洞描述

2020年10月6日,MyBatis官方发布了MyBatis 3.5.6版本,修复了一个远程代码执行漏洞,该漏洞编号为CVE-2020-26945。 在满足以下三个条件的时候,攻击者可以触发远程代码执行:

  • 用户启用了内置的二级缓存
  • 用户未设置JEP-290过滤器
  • 攻击者找到了一种修改私有Map字段条目的方法,即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥

MyBatis漏洞复现

攻击者可以造成远程代码执行:

MyBatis远程代码执行漏洞(CVE-2020-26945)-极安网

影响范围

目前受影响的MyBatis版本:

Mybatis < 3.5.6

漏洞修复

目前厂商已发布升级补丁以修复漏洞,请受影响用户尽快进行升级加固。补丁获取链接:https://github.com/mybatis/mybatis-3

原创文章,作者: Admin ,转载请注明出处:https://www.secvery.com/3853.html