OneBlog icon indicating copy to clipboard operation
OneBlog copied to clipboard

Published 20 hours ago verified publisher icon zhangyd-c

关于项目存在FreeMarker模板注入实现远程命令执行问题

Open Firebasky opened this issue 4 years ago • 0 comments

您好,该项目中可能存在FreeMarker模板注入实现远程命令执行问题的风险。

在项目后台存在模板管理功能,并且可以任意修改模板。 image

image

成功修改了数据库中的模板数据。

之后前台访问url/sitemap.xml,成功触发命令执行

image

解决办法j 建议对修改的模块的地方进行过滤处理。 image

Firebasky avatar Nov 08 '21 14:11 Firebasky