一、基本情况
RuoYi是一款基于Java的快速开发框架,主要用于构建企业级管理系统。
二、漏洞描述
RuoYi框架v4.7.9存在SQL注入漏洞,攻击者可以通过该漏洞执行任意SQL命令。该漏洞出现在框架的createTable功能中,攻击者利用SQL参数发送特制请求,从而触发注入。漏洞的根本原因在于SQL注入过滤机制不完善,filterKeyword方法中的正则表达式未能有效拦截特定的字符,导致攻击者能够绕过SQL注入过滤,构造恶意的SQL查询。
三、影响范围
RuoYi <= v4.7.9
四、修复建议
官方已发布修复补丁,以修复该漏洞。
RuoYi >= v4.8.0
