Pace Zhou
|
64ef1b2325
|
Merge pull request #46 from cp1996-bf/fix/security-hardening
已合并修复方案到 development,关闭此 PR。感谢贡献!
|
3 weeks ago |
cp1996
|
2d6d1cfa5f
|
fix: 移除未使用的 spring-boot-starter-actuator 依赖 (CVE-2026-22733)
actuator 依赖在本项目中未被任何业务代码使用(全仓库 grep 零命中
org.springframework.boot.actuate.*,无自定义 @Endpoint /
HealthIndicator / InfoContributor),仅默认暴露 /actuator/health。
项目系统监控信息由 OSHI 实现,不依赖 actuator。移除此依赖以
降低攻击面并规避 CVE-2026-22733。
如未来确需使用 actuator,应同时配置
management.endpoints.web.exposure.include 白名单,避免默认
暴露超出预期的端点。
|
3 weeks ago |
|
cp1996
|
bcd55a6144
|
feat: 启用 MyBatis-Plus BlockAttackInnerInterceptor 防全表更新/删除
拦截无 WHERE 条件的 UPDATE / DELETE 语句,避免因业务 bug 或
SQL 注入导致整表数据被误清空。
由于 mybatis-plus 3.5.9 起将 jsqlparser 相关能力从 core 包
拆出到独立的 mybatis-plus-jsqlparser 模块,BlockAttackInnerInterceptor
依赖 SQL 解析,需要显式引入该依赖。
改动:
- pom.xml (根):dependencyManagement 加入 mybatis-plus-jsqlparser
- opsli-base-support/opsli-core/pom.xml:引入 mybatis-plus-jsqlparser
- MyBatisPlusConfig.java:import BlockAttackInnerInterceptor,
取消原有注释并启用拦截器
|
3 weeks ago |
|
cp1996
|
9249a8f884
|
fix: 修复多处越权访问漏洞 (IDOR / missing @PreAuthorize)
新增 UserUtil.checkUserAccess(targetUserId) 统一越权校验工具,
并修复以下控制器中缺失或错误的权限校验:
1. SysOptionsRestController.findAllOptions
无任何权限校验,任何登录用户可读取平台级系统参数,
其中包含阿里云 AccessKey / 邮箱 / 非对称加密公钥等敏感配置。
加超管校验 + @PreAuthorize("system_options_select")。
2. DictRestController
- get / findPage 缺失 @PreAuthorize,补 system_dict_select
- delAll 的权限名错写为 system_dict_insert,改为 system_dict_delete
3. RoleRestController.findPage / TenantRestController.findPage
@PreAuthorize 被注释掉,恢复启用。
4. UserRestController.getInfoById / getOrgByUserId / getRoleIdsByUserId
可通过传入任意 userId 读取其他租户/用户的信息、组织和角色。
加 @PreAuthorize("system_user_select") + UserUtil.checkUserAccess(userId)。
注:getInfo() / getOrg() 通过 this.xxx() 内部调用这些方法,
Spring AOP 对 this 调用不生效,@PreAuthorize 不会触发;
checkUserAccess 对"查自己"直接放行,保持既有行为。
5. UserRoleRefRestController.getRoles
同上,补 @PreAuthorize 和 checkUserAccess。
checkUserAccess 规则:
- 查自己 / 超管 → 放行
- 目标是超管 → 仅超管可访问
- 跨租户 → 拦截
- 同租户且目标非超管 → 放行
- 其它一律抛 AccessDeniedException
|
3 weeks ago |
|
Pace Zhou
|
80becfa375
|
Merge pull request #43 from hiparker/development
Merge: 修复修改个人信息时会清空手机邮箱问题 & 优化用户提醒
|
11 months ago |
Parker
|
d0df97004b
|
Merge remote-tracking branch 'origin/development' into development
|
11 months ago |
|
Parker
|
79a1fe2964
|
feat: 修复修改个人信息时会清空手机邮箱问题 & 优化用户提醒
|
11 months ago |
|
Pace Zhou
|
ff53026f2e
|
Merge pull request #42 from hiparker/development
feat: 支持springboot3, 修复相关CVE漏洞
|
11 months ago |
|
Pace Zhou
|
2e2b47f53a
|
Merge branch 'master' into development
|
11 months ago |
|
Parker
|
7eef6ae9c6
|
feat: 支持springboot3, 修复相关CVE漏洞
|
11 months ago |
|
Pace Zhou
|
a07589a68c
|
Merge pull request #41 from hiparker/development
feat: 支持springboot3, 修复相关CVE漏洞
|
11 months ago |
|
Parker
|
7eac7084ff
|
feat: 支持springboot3, 修复相关CVE漏洞
|
11 months ago |
|
Pace Zhou
|
386c5e8af4
|
Merge pull request #40 from hiparker/development
feat: 支持springboot3, 修复相关CVE漏洞
|
11 months ago |
|
Parker
|
25dbdcdb43
|
feat: 支持springboot3, 修复相关CVE漏洞
|
11 months ago |
|
Anthony Parker
|
9dd0592445
|
Merge pull request #39 from hiparker/development
fix: 修复极端情况下 服务启动报错初始化失败异常
|
2 years ago |
|
Parker
|
190d035f24
|
fix: 修复极端情况下 服务启动报错初始化失败异常
|
2 years ago |
|
Anthony Parker
|
e59dd0c8a8
|
Merge pull request #37 from hiparker/development
fix: 修复登录过程中验证Jwt异常后 无法正常拦截问题
|
3 years ago |
|
Parker
|
6feaaca93a
|
fix: 修复登录过程中验证Jwt异常后 无法正常拦截问题
|
3 years ago |
|
Anthony Parker
|
1d29d0ea4f
|
Merge pull request #36 from hiparker/development
fix: 修复登录过程中验证Jwt异常后 无法正常拦截问题
|
3 years ago |
|
Parker
|
9ddf9961bb
|
fix: 修复登录过程中验证Jwt异常后 无法正常拦截问题
|
3 years ago |
|
Anthony Parker
|
453e3960b1
|
Merge pull request #35 from hiparker/development
Development
|
3 years ago |
|
Parker
|
5cdbf140cc
|
fix: 升级Guava 修复 CVE-2020-8908
|
3 years ago |
|
Parker
|
78c15f42ff
|
fix: 修复数据库文件
|
3 years ago |
|
Anthony Parker
|
0a049d3d8c
|
Merge pull request #33 from PiFrancis/oscs_fix_ci95dd0au51qt1nt0jh0
fix(sec): upgrade org.yaml:snakeyaml to 1.32
|
3 years ago |
PiFrancis
|
18e0758b4a
|
update org.yaml:snakeyaml 1.27 to 2.0
|
3 years ago |
|
Parker
|
6000f9b6a2
|
fix: 修复数据文件 没更上2.0版本问题
|
3 years ago |
|
Parker
|
6f8c70662d
|
fix: 放开本地上传路径
|
3 years ago |
|
Parker
|
ee341b113c
|
Merge pull request #32 from hiparker/development
Development
|
3 years ago |
|
Parker
|
535a5da781
|
fix: 优化代码
|
3 years ago |
|
Parker
|
9ca9dea72a
|
fix: 修复租户组织为空,进入租户列表报错问题
|
3 years ago |
|
Parker
|
4376dab83e
|
Merge pull request #31 from hiparker/development
feat: 更新README
|
3 years ago |
|
Parker
|
0bb84a5647
|
feat: 更新README
|
3 years ago |
|
Parker
|
09fcc6d298
|
Merge pull request #30 from hiparker/development
fix: 升级springboot 版本为 2.7.10, 修复 CVE-2023-20860
|
3 years ago |
|
Parker
|
098dd26f25
|
fix: 升级springboot 版本为 2.7.10, 修复 CVE-2023-20860
|
3 years ago |
|
Parker
|
8567275fa6
|
Merge pull request #29 from hiparker/development
Development
|
3 years ago |
|
Parker
|
7c06309c78
|
fix: 升级SQL
|
3 years ago |
|
Parker
|
ec14677684
|
fix: 菜单编辑页 获取父级菜单 为空问题
|
3 years ago |
|
Parker
|
5b5654b56e
|
perf: 修改EventBug名称 适配于全局事件
|
3 years ago |
|
Parker
|
f164f661ae
|
Merge pull request #27 from hiparker/development
Development
|
3 years ago |
|
Parker
|
1c179f75d0
|
fix: 修复数据文件 没更上2.0版本问题
|
3 years ago |
|
Parker
|
a6fde8c815
|
fix: 修复数据文件 没更上2.0版本问题
|
3 years ago |
|
Parker
|
15eed42920
|
Merge pull request #26 from hiparker/development
Development
|
3 years ago |
|
Parker
|
2fd718f73e
|
fix: 除去多余Long处理设置 vue前段已引入jsonlint处理
|
3 years ago |
|
Parker
|
e2b30ee5a0
|
fix: 除去多余Long处理设置 vue前段已引入jsonlint处理
|
3 years ago |
|
Parker
|
3e7c89bed1
|
fix: 除去多余Long处理设置 vue前段已引入jsonlint处理
|
3 years ago |
|
Parker
|
a314805b9f
|
Merge pull request #25 from hiparker/development
Development
|
3 years ago |
|
Parker
|
056f90d369
|
fix: 修复2.0版本 sql文件缺失问题
|
3 years ago |
|
Parker
|
0ce0f85821
|
perf: 优化部分工具代码,提高兼容性
|
3 years ago |
|
Parker
|
1b7d7038ec
|
perf: 优化mybaitis拦截器代码
|
3 years ago |
|
Parker
|
08207adf9a
|
Merge pull request #24 from hiparker/development
fix: 移除cglib
|
3 years ago |
