关于项目存在FreeMarker模板注入实现远程命令执行问题

您好，该项目中可能存在FreeMarker模板注入实现远程命令执行问题的风险。

在项目后台存在模板管理功能，并且可以任意修改模板。
![image](https://user-images.githubusercontent.com/63966847/140755525-42b125cc-e0a0-454b-a0cf-8fa85baaedde.png)


![image](https://user-images.githubusercontent.com/63966847/140755547-c2ce9165-c32a-40b1-b18e-9fa223c29099.png)

成功修改了数据库中的模板数据。

之后前台访问url/sitemap.xml，成功触发命令执行

![image](https://user-images.githubusercontent.com/63966847/140755602-86f8db0c-ed8f-474b-a07b-ccbfb245a99e.png)


解决办法j
建议对修改的模块的地方进行过滤处理。
![image](https://user-images.githubusercontent.com/63966847/140755681-4ed41550-32c9-42a7-a7cb-3c1639d1be9e.png)


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

关于项目存在FreeMarker模板注入实现远程命令执行问题 #26

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

关于项目存在FreeMarker模板注入实现远程命令执行问题 #26

Description

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions