【安全通报】MyBatis 远程代码执行漏洞（CVE-2020-26945）

MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code，并且改名为MyBatis。

MyBatis是一款优秀的持久层框架，它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的xml或注解来配置和映射原生信息，将接口和 Java 的 POJOs（Plain Ordinary Java object，普通的 Java对象）映射成数据库中的记录。

2020年10月6日，MyBatis官方发布了MyBatis 3.5.6版本，修复了一个远程代码执行漏洞，该漏洞编号为CVE-2020-26945。

在满足以下三个条件的时候，攻击者可以触发远程代码执行：

1、用户启用了内置的二级缓存

2、用户未设置JEP-290过滤器

3、攻击者找到了一种修改私有Map字段条目的方法，即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥

CVE 编号

CVE-2020-26945

影响范围

• Mybatis < 3.5.6

修复建议

1. 目前厂商已发布升级补丁修复漏洞，请受影响用户尽快进行升级加固。补丁获取链接：

   https://github.com/mybatis/mybatis-3

参考

[1].https://github.com/mybatis/mybatis-3/pull/2079

[2].https://mp.weixin.qq.com/s/dZeGgcFHo729_tzqQ5mC1g

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。