关于项目存在FreeMarker模板注入实现远程命令执行问题 #26
Description
您好,该项目中可能存在FreeMarker模板注入实现远程命令执行问题的风险。
在项目后台存在模板管理功能,并且可以任意修改模板。
成功修改了数据库中的模板数据。
之后前台访问url/sitemap.xml,成功触发命令执行
解决办法j
建议对修改的模块的地方进行过滤处理。
{{ message }}
您好,该项目中可能存在FreeMarker模板注入实现远程命令执行问题的风险。
在项目后台存在模板管理功能,并且可以任意修改模板。
成功修改了数据库中的模板数据。
之后前台访问url/sitemap.xml,成功触发命令执行
解决办法j
建议对修改的模块的地方进行过滤处理。