Jinja: حقن الأوامر في دالة from_string (SSTI)

لا يعرف المستخدم الذي أنشأ هذا الريبو و CVE ما الذي يتحدثون عنه ، ولسوء الحظ سنضطر الآن إلى الاستمرار في معالجته نظرًا لأنهم أبلغوا مجموعة من الأشخاص بشكل غير مسؤول عن مشكلة غير متعلقة بطريقة رسمية. . راجع https://github.com/JameelNabbo/Jinja2-Code-execution/issues/1 للرد عليها. لقد أرسلت طلبًا إلى MITER لإبطال CVE.

إن القول بأن Jina بها ثغرة أمنية نظرًا لوجود from_string مثل القول بأن كل لغة ديناميكية ضعيفة لأن eval موجود ، أو أن كل مكتبة SQL معرضة للخطر لأنها تقيم سلاسل SQL. المشكلة ليست مع تلك المكتبات ، التي توفر جميعها أدوات مناسبة للتعامل مع مدخلات المستخدم. لا تحتوي مكتبة SQL على ثغرة أمنية في الحقن ، والمشروع الذي يستخدم مكتبة SQL يفعل ذلك بشكل غير صحيح.

SandboxedEnvironment إذا كنت لا تزال ترغب في المخاطرة بتجميع القوالب غير الموثوق بها ، ويجب استخدام autoescape عند عرض المتغيرات غير الموثوق بها.