يقبل from_string
المعلمات التي لم يتم تجاوزها ، لذلك يمكن للمهاجم إدخال تعليمات برمجية في القالب.
يجب الهروب من أي شيء مرت.
https://github.com/JameelNabbo/Jinja2-Code-execution
https://www.exploit-db.com/exploits/46386
لا يعرف المستخدم الذي أنشأ هذا الريبو و CVE ما الذي يتحدثون عنه ، ولسوء الحظ سنضطر الآن إلى الاستمرار في معالجته نظرًا لأنهم أبلغوا مجموعة من الأشخاص بشكل غير مسؤول عن مشكلة غير متعلقة بطريقة رسمية. . راجع https://github.com/JameelNabbo/Jinja2-Code-execution/issues/1 للرد عليها. لقد أرسلت طلبًا إلى MITER لإبطال CVE.
إن القول بأن Jina بها ثغرة أمنية نظرًا لوجود from_string
مثل القول بأن كل لغة ديناميكية ضعيفة لأن eval
موجود ، أو أن كل مكتبة SQL معرضة للخطر لأنها تقيم سلاسل SQL. المشكلة ليست مع تلك المكتبات ، التي توفر جميعها أدوات مناسبة للتعامل مع مدخلات المستخدم. لا تحتوي مكتبة SQL على ثغرة أمنية في الحقن ، والمشروع الذي يستخدم مكتبة SQL يفعل ذلك بشكل غير صحيح.
SandboxedEnvironment
إذا كنت لا تزال ترغب في المخاطرة بتجميع القوالب غير الموثوق بها ، ويجب استخدام autoescape
عند عرض المتغيرات غير الموثوق بها.
التعليق الأكثر فائدة
لا يعرف المستخدم الذي أنشأ هذا الريبو و CVE ما الذي يتحدثون عنه ، ولسوء الحظ سنضطر الآن إلى الاستمرار في معالجته نظرًا لأنهم أبلغوا مجموعة من الأشخاص بشكل غير مسؤول عن مشكلة غير متعلقة بطريقة رسمية. . راجع https://github.com/JameelNabbo/Jinja2-Code-execution/issues/1 للرد عليها. لقد أرسلت طلبًا إلى MITER لإبطال CVE.
إن القول بأن Jina بها ثغرة أمنية نظرًا لوجود
from_string
مثل القول بأن كل لغة ديناميكية ضعيفة لأنeval
موجود ، أو أن كل مكتبة SQL معرضة للخطر لأنها تقيم سلاسل SQL. المشكلة ليست مع تلك المكتبات ، التي توفر جميعها أدوات مناسبة للتعامل مع مدخلات المستخدم. لا تحتوي مكتبة SQL على ثغرة أمنية في الحقن ، والمشروع الذي يستخدم مكتبة SQL يفعل ذلك بشكل غير صحيح.SandboxedEnvironment
إذا كنت لا تزال ترغب في المخاطرة بتجميع القوالب غير الموثوق بها ، ويجب استخدامautoescape
عند عرض المتغيرات غير الموثوق بها.