发布日期：2026-03-30
更新日期：2026-06-18

受影响系统：

yudao-cloud yudao-cloud <= 2026.01

描述：

---

CVE(CAN) ID: CVE-2026-5147

yudao-cloud（芋道源码）是一套基于 Spring Boot + Vue 的企业级快速开发平台。
yudao-cloud在2026.01及之前版本存在SQL注入漏洞，该漏洞源于该产品租户管理模块的 `/admin-api/system/tenant/get-by-website` 接口在处理 `Website` 参数时未对用户输入的参数进行充分的过滤或参数化绑定，攻击者可利用该漏洞实现未授权数据库操作。

<**>

建议：

---

厂商补丁：

yudao-cloud
-----------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/NarcherAlter/Security_Note/blob/main/Vulnerability_Discovery/yudaoCloudv2026.01.md

浏览次数：38
严重程度：0（网友投票）