MyBatis 远程代码执行(CVE-2020-26945) 漏洞预警

一、基本信息

近日，MyBatis被公布存在远程代码执行漏洞，漏洞编号为CVE-2020-26945。

MyBatis是美国阿帕奇（Apache）软件基金会的一款优秀的持久层框架。支持自定义SQL、存储过程以及高级映射，免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作，可以通过简单的XML或注解来配置和映射原始类型、接口和Java POJO（Plain Old Java Objects，普通老式Java对象）为数据库中的记录，在国内被广泛使用。该漏洞影响范围广，风险性高，为避免业务受影响，建议受影响的用户尽快升级至安全版本，做好资产自查及预防工作，避免被外部攻击者入侵。

二、漏洞等级

高危

三、影响版本

Mybatis < 3.5.6

四、漏洞详情

MyBatis 3.5.6之前版本存在安全漏洞，该漏洞源于错误处理对象流的反序列化。

该漏洞被成功利用，需满足以下的前提条件：

1）用户启用了内置的二级缓存；

2）用户未设置JEP-290过滤器；

3）攻击者获取了修改私有Map字段条目的方法，即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥。

五、处置建议

目前官方已发布升级补丁修复漏洞，建议受影响的用户尽快更新升级，以免遭受恶意攻击。更新升级前，请进行全面的应用程序功能及UI测试。

下载地址：https://github.com/mybatis/mybatis-3