Closed L1nyz-tel closed 14 hours ago
我将 issue 中提到的视频链接转移到 github comment 便于观看:
https://github.com/halo-dev/halo/assets/38999863/daf3a0ed-8844-4e37-a113-14e0ebde384d
Hi @L1nyz-tel , thank you for reaching out here!
目前,Halo 主程序暂时没有对插件进行任何限制,等待插件系统稳定后,会慢慢考虑加固。
我这里有以下几个建议:
Hi @L1nyz-tel , thank you for reaching out here!
目前,Halo 主程序暂时没有对插件进行任何限制,等待插件系统稳定后,会慢慢考虑加固。
我这里有以下几个建议:
- 不要安装为止来源的插件
- 尽量用低权限用户运行 Halo 系统
- 尽量用 Docker 运行 Halo 系统
是的,总结非常到位🫡, 这也是我们很长一段时间都没有考虑提供 JAR 包给用户的原因之一,插件目前还可以操作文件,如果你
那么你就会面临服务器重要文件被获取或者删除的风险
/kind needs-information /priority awaiting-more-evidence /area plugin
@guqing: The label(s) kind/needs-information
cannot be applied, because the repository doesn't have them.
系统信息
使用的哪种方式运行?
Source Code
发生了什么?
登陆之后,在安装插件的时候,上传恶意构造的 jar 包可以 rce
示例 jar 包 telllplugin.jar
相关日志输出
No response
附加信息
video 链接: attack.mov