search

JPressProjects / jpress

JPress,一个使用 Java 开发的建站神器,目前已经有 10w+ 网站使用 JPress 进行驱动,其中包括多个政府机构,200+上市公司,中科院、红+字会等。
http://www.jpress.cn
GNU Lesser General Public License v3.0
2.66k stars 1.18k forks source link

请问一下修复模板引擎注入造成的 RCE 的这个漏洞里面,是用了哪种修复方式呀 #179

Closed Drun1baby closed 1 year ago

Drun1baby commented 1 year ago

按照道理来说,V4.2 的版本里面存在一个 escape 方法,它可以转义字符串,理论上来说不存在 SSTI