一、 漏洞 CVE-2022-4963 基础信息
漏洞标题
Folio 春季模块核心命名模式HibernateSchemaService.java,dropSchema 操作存在SQL注入风险。
来源:AIGC 神龙大模型
漏洞描述信息
在Folio Spring Module Core的1.1.5及之前版本中发现了一个漏洞。它被评估为高危。受影响的功能是Schema Name Handler组件中的tenant/src/main/java/org/folio/spring/tenant/hibernate/HibernateSchemaService.java文件中的dropSchema函数。此操作可能导致SQL注入。升级到2.0.0版本可以解决这个问题。补丁的名称是d374a5f77e6b58e36f0e0e4419be18b95edcd7ff。建议升级受影响的组件。此漏洞的标识符为VDB-257516。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
Folio Spring Module Core Schema Name HibernateSchemaService.java dropSchema sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in Folio Spring Module Core up to 1.1.5. It has been rated as critical. Affected by this issue is the function dropSchema of the file tenant/src/main/java/org/folio/spring/tenant/hibernate/HibernateSchemaService.java of the component Schema Name Handler. The manipulation leads to sql injection. Upgrading to version 2.0.0 is able to address this issue. The name of the patch is d374a5f77e6b58e36f0e0e4419be18b95edcd7ff. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-257516.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Spring Module Core SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Spring Module Core是FOLIO开源的一个使用 Okapi 开发的 Spring 模块核心库。 Spring Module Core 1.1.5 版本存在SQL注入漏洞,该漏洞源于组件Schema Name Handler的函数dropSchema会导致SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-4963 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-4963 的情报信息