sql注入漏洞升级问题

Blade 未结 2 388
511599158
511599158 剑童 2024-08-15 11:02
1.82.6.0.RELEASEGreenwich.SR6Cairo-SR82.3.12.RELEASE2.1.21.81.8

上面是目前SpringBlade版本,Springblade < 3.7.1存在sql注入漏洞,请问可以直接升级为3.7.1或者有升级套件吗?



2条回答
  • 2024-08-20 15:52
    // 清除特殊字符

    String cleaned = StringUtil.cleanIdentifier(param);

    这个方法找不到

    作者追问:2024-08-20 16:00

    回答: 2024-08-20 16:37

    所有查询都报 java.sql.SQLException: SQL keyword is empty!

    作者追问:2024-08-20 16:38

    你具体改了哪里,如果只是按照要求修改sqlKeyword是不会影响全局的

    回答: 2024-08-20 16:53

    1. {code: 500, success: false, data: {}, msg: "java.sql.SQLException: SQL keyword is empty!"}

      1. code: 500

      2. data: {}

      3. msg: "java.sql.SQLException: SQL keyword is empty!"

      4. success: false


    回答: 2024-08-20 16:54

    覆盖了

    SqlKeyword

    类,添加了

    cleanIdentifier

    其他都没改直接deploy上去了

    作者追问:2024-08-20 16:56

    覆盖了对应版本的blade-tool内的sqlKeyword么?其他什么都没动么?

    你打个断点来调试,具体调用的哪个接口,到哪一步报错的,sqlkeyword过滤后的参数又变成了什么。你要多提供点信息,不让没法帮你判断。

    作者追问:2024-08-20 16:58

    问问题要多提供点信息,不要让我来反问你要信息。

    你怎么修改的,改在哪里,调用的接口是什么,打断点到哪一步报的错。都截图发出来。

    回答: 2024-08-20 17:04

    UTF-8UTF-81.82.6.0.RELEASE6.4.22.3.12.RELEASEGreenwich.SR6Cairo-SR81.81.8

    只覆盖了附件中的类,这个直接是打包发流水了 没办法本地测试  包是直接打到私服上去的

    作者追问:2024-08-20 17:05

    需要本地源码模式启动调试,然后把结果告诉我们。如果你都不知道什么情况,我们也无法帮忙判断是哪里的问题呀

    回答: 2024-08-20 21:48

    框架是打到私服上去了,没办法打断点本地调试,我是直接用文档上的类覆盖掉mybatis里面的同名的类,能否有时间远程会议支持下

    1 讨论(2)
  • 2024-08-15 11:14

    看下这个,可以打补丁,替换几个类就行,不需要升级整体系统:https://sns.bladex.cn/article-15011.html


    0 讨论(0)
提交回复