若依 RuoYi 4.6.0 及之前版本存在 SQL 注入漏洞，攻击者可利用未过滤的 ancestors 参数进行恶意 SQL 攻击，导致数据库信息泄露和权限提升。建议及时更新系统以修复该漏洞。

开源日报每天推荐一个 GitHub 优质开源项目和一篇精选英文科技或编程文章原文，坚持阅读《开源日报》，保持每 […] The post 开源日报第1109期：基于SpringBoot+Vue3快速开发框架：《RuoYi-Vue3》 appeared first on 开源工场.

本文介绍了搭建靶场来复现和修复ruoyi漏洞的方法，包括靶场搭建、漏洞利用和修复方式。漏洞包括shiro漏洞、弱口令、命令执行、代码执行、SSTI、文件下载、SQL注入、文件读取漏洞及bypass。修复方式包括升级版本、修改密钥、添加文件下载验证、升级thymeleaf组件版本等。

本文分享RuoYi 4.2代码审计的过程，仅供学习参考，切勿用于非法途径。

添加flyway依赖在根目录下pom.xml添加flyway依赖