安全公告/【CVE-2020-26945】

基本信息

漏洞描述

MyBatis是美国阿帕奇（Apache）软件基金会的一款优秀的持久层框架。 MyBatis存在远程代码执行漏洞，该漏洞源于错误处理对象流的反序列化。攻击者可利用漏洞将对象反序列化后存储至redis服务器中。

修复方式

将 MyBatis 升级到 3.5.6 及以上版本，下载地址：https://github.com/mybatis/mybatis-3/releases

漏洞判定

版本比对检测原理：检查当前系统中MyBatis版本是否在受影响版本内|版本比对检测结果：- mybatis
  当前安装版本：3.2.1
  应用相关信息：
  - 进程PID：12696
  - 应用路径：/home/weblogic12/user_projects/domains/csbPay_domain/WebRoot/WEB-INF/lib/mybatis-3.2.1.jar
该主机存在此漏洞

参考

CVE-2020-26945，CNVD-2020-55776，CWE-502，CNNVD-202010-384