关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 3965|回复: 0

【漏洞通知】JeecgBoot 修复Freemarker模板注入漏洞, 漏洞危...

[复制链接]
发表于 2023-8-15 19:49:30 | 显示全部楼层 |阅读模式
Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。

JeecgBoot官方已修复,建议大家尽快升级至相关底层依赖和源码




一、漏洞描述

Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令。漏洞危害等级:高危



二、影响范围
  • minidao-spring-boot-starter 版本 < 1.9.2
  • jimureport-spring-boot-starter 版本 < 1.6.1
  • codegenerate 版本 < 1.4.4
  • hibernate-re 版本 < 3.5.3
  • jeewx-api 版本 < 1.5.2
  • drag-free 版本 < 1.0.2

三、修复方案,升级依赖版本和源码


目前该漏洞已经修复,受影响用户可升级到以下版本
  • minidao-spring-boot-starter >= 1.9.2
  • jimureport-spring-boot-starter >= 1.6.1
  • codegenerate >= 1.4.4
  • hibernate-re >= 3.5.3
  • jeewx-api >= 1.5.2
  • drag-free >=1.0.2

JeecgBoot修复PR:

四、如果你的jeecgboot版本非常老?

可以采用重写freemarker的类src/main/java/freemarker/template/Configuration.java方式,在实例化Configuration方法里面默认加入

  1. //freemarker模板注入问题 禁止解析ObjectConstructor,Execute和freemarker.template.utility.JythonRuntime。
  2. this.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);
复制代码


参考代码:针对freemaker2.3.31的重写Configuration初始化,具体大家请按照自己的版本去重写覆盖。



您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表