A security vulnerability has been detected in youlaitech youlai-boot up to 2.21.1. This affects the function getUserList of the file src/main/java/com/youlai/boot/system/controller/UserController.java of the component Users Endpoint. Such manipulation of the argument order leads to sql injection. The attack may be launched remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
A SQL injection vulnerability exists in youlai-boot versions up to 2.21.1 in the getUserList endpoint that allows remote attackers to manipulate argument order and execute arbitrary SQL queries. The vulnerability affects the UserController component and has been publicly disclosed with no vendor response.
يوجد ثغرة حقن SQL في مكون UserController بملف UserController.java حيث يمكن للمهاجمين التلاعب بترتيب معاملات الدالة getUserList لتنفيذ استعلامات SQL عشوائية. الثغرة قابلة للاستغلال عن بعد وتم الكشف عنها علناً مع عدم استجابة البائع للإبلاغات الأمنية.
ثغرة حقن SQL موجودة في إصدارات youlai-boot حتى 2.21.1 في نقطة نهاية getUserList تسمح للمهاجمين البعيدين بمعالجة ترتيب الحجج وتنفيذ استعلامات SQL عشوائية. تؤثر الثغرة على مكون UserController وتم الكشف عنها علناً بدون رد من البائع.
Immediately upgrade youlai-boot to version 2.21.2 or later. Implement input validation and parameterized queries for all database operations. Apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts. Conduct a security audit of all user-facing endpoints and review database access controls.
قم بالترقية الفورية إلى إصدار youlai-boot 2.21.2 أو أحدث. طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع عمليات قاعدة البيانات. طبق قواعد جدار الحماية لتطبيقات الويب لكشف ومنع محاولات حقن SQL. أجرِ تدقيقاً أمنياً لجميع نقاط النهاية الموجهة للمستخدمين وراجع عناصر التحكم في الوصول إلى قاعدة البيانات.