A vulnerability was determined in liyupi yu-picture up to a053632c41340152bf75b66b3c543d129123d8ec. This impacts the function PageRequest of the file yu-picture-backend/src/main/java/com/yupi/yupicturebackend/service/impl/PictureServiceImpl.java of the component MyBatis-Plus. Executing a manipulation of the argument sortField can lead to sql injection. The attack can be launched remotely. The exploit has been publicly disclosed and may be utilized. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. Applying a patch is advised to resolve this issue. The project was informed of the problem early through a pull request but has not reacted yet.
A SQL injection vulnerability exists in liyupi yu-picture's MyBatis-Plus component through the sortField parameter in PageRequest function, allowing remote code execution. The vulnerability affects the picture service implementation and has been publicly disclosed with no patch currently available.
ثغرة حقن SQL في مكون MyBatis-Plus الخاص بتطبيق yu-picture تسمح للمهاجمين بتنفيذ استعلامات SQL عشوائية عبر معامل sortField. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة، مما يهدد سرية وتكامل البيانات المخزنة في قاعدة البيانات.
ثغرة حقن SQL موجودة في مكون MyBatis-Plus الخاص بـ liyupi yu-picture عبر معامل sortField في دالة PageRequest، مما يسمح بتنفيذ الأوامر عن بعد. تؤثر الثغرة على خدمة الصور وتم الكشف عنها علناً بدون توفر تصحيح حالياً.
Immediately upgrade to a patched version once available; implement input validation and parameterized queries for all sortField parameters; apply Web Application Firewall (WAF) rules to detect and block SQL injection attempts; conduct code review of MyBatis-Plus implementations; restrict database user permissions to minimum required privileges.
قم بالترقية الفورية إلى نسخة مصححة عند توفرها؛ طبق التحقق من صحة المدخلات والاستعلامات المعاملة لجميع معاملات sortField؛ طبق قواعد جدار حماية تطبيقات الويب للكشف عن محاولات حقن SQL؛ أجرِ مراجعة شاملة للأكواد التي تستخدم MyBatis-Plus؛ قيد صلاحيات مستخدم قاعدة البيانات بالحد الأدنى المطلوب.