Help us learn about your current experience with the documentation. Take the survey.
服务端模板注入
描述
应用程序存在服务端模板注入(SSTI)漏洞,这使攻击者能够操纵服务端的模板。当未经信任的用户输入被直接用于服务端模板且未经过适当净化时,就会出现此漏洞。攻击者可以利用此弱点在模板中注入和执行任意代码,可能危及系统的完整性和机密性。
修复建议
用户控制的数据在用作构建表达式语言语句的一部分时,应始终对特殊元素进行中和。请查阅所用模板系统的文档,了解如何正确中和用户控制的数据。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 1336.1 | false | 1336 | Active | high |