Beetl 模板引擎 3.15.1 发布,安全漏洞修复

2023-04-03 發表於 开源资讯

本次主要修复了安全漏洞:Beetl 存在 SSTI 漏洞[BUG]。此漏洞不像JSON序列化工具安全漏洞具有普遍性,漏洞只会发生于"在线运行模板引擎"的系统

如果不使用此版本,为了避免漏洞,可以禁用Beetl本地Class调用,也可以自定义安全管理器,加上对java.lang.Class.forName的限制

public class YourNativeSecurityManager implements NativeSecurityManager {

 
@Override
public boolean permit(Object resourceId, Class c, Object target, String method) {

String className = ....;
String pkgName = ....;

if (pkgName.startsWith("java.lang")) {
return !className.equals("Runtime")
&& !className.equals("Process")
&& !className.equals("ProcessBuilder")
					&& !className.equals("Class")
&& !className.equals("System");
}

if(pkgName.startsWith("sun.misc")){
	return false;
		}

return true;
}

}
<dependency>
<groupId>com.ibeetl</groupId>
<artifactId>beetl</artifactId>
<version>3.15.1.RELEASE</version>
</dependency>

相關推薦

Beetl 模板引擎 3.15.12 发布,Java 模板引擎

2023-12-12

Beetl研发自2010年,国内流行Java模板引擎 文档 源码 在线体验 模板性能测试 表达式引擎性能测试  性能优化指南  本次调整 *  修复自从2019年Beeetl2升级到Beetl3,不支持自定义方法提供的Context参数问

Beetl 模板引擎 3.15.7 发布,Java 模板引擎

2023-07-13

> </dependency> 文档 源码 在线体验 模板性能测试 表达式引擎性能测试  性能优化指南  最新模板性能测试,各个模板引擎均采用最新版本, Score 越大越好 Beetl>Rocker>>Freemarker>>Thy

BeetlSQL 3.19.3 发布,流行 Java ORM 工具

2022-11-01

3.19.0 发版中query.between 实现的bug 2 使用最新的beetl版本,模板相关sql性能带来小幅度提升 maven <dependency> <groupId>com.ibeetl</groupId> <artifactId>beetlsql</artifactId> <version>3.19.3-RELEASE</version> </dependency>

🔥 Solon v2.7.5 发布(你想要吗?)

2024-04-18

solon.web.flux) 添加 SolonException 异常基类 添加 solon.view 模板渲染器指定视图前缀的构造函数 添加 solon.view 模板渲染器的容器注册(提供容器扩展方式) 添加 solon.data TranUtils:getConnectionProxy 接口,方便不同的事务对接 添加 solo

BeetlSQL 3.21.0 发布,支持 XML 管理 SQL 文件

2023-04-03

查询映射(complexMapping),直接执行 sql (executeJdbc), 执行模板 sql (executeTemplate), 执行文件中的模板 sql ( File), 内置插入(insert),Query 调用链 (Query), 翻页查询 (pageQuery), 内置主键查询 (selectById), one2Many 自动关联查询    Ben

🍁CXYGZL - 工作流 V2.0.6,支持动态路由节点跳转

2023-08-01

CXYGZL 介绍 现在开源的工作流引擎,基本都是以 BPMN.js 为基础的,导致使用门槛过高,非专业人员无法驾驭。本工作流借鉴钉钉 / 飞书的方式,以低代码方式降低用户使用门槛,即使是普通企业用户也可以几分钟内就能搭建自己

冰盾 · 主动防御 3.3 版本发布,功能遥遥领先

2023-10-18

禁止进程启动、文档保护、隐私保护),而且设计了基于模板+参数的规则引擎,大大降低了防御规则的编辑难度,同时还提供规则市场,让规则的分享和获取变得触手可及。 在性能上,冰盾规则引擎采用双缓存模式,匹配的效

Solon v2.2.6 发布,助力信创国产化

2023-03-22

插件(引用) 新增 solon-job 插件(为 Solon Initializr 生成模板项目提供便利) 新增 solon-web-beetl 插件 新增 solon-web-enjoy 插件 增加 应用元信息 "solon.app.meta" 配置支持 增加 应用标签 "solon.app.tags" 配置支持 增加 nacos-solon-cloud

MybatisPlus 发布 3.5.3.2 版本,你要的功能都更新了

2023-08-10

将原有的“.”替换成了文件分隔符“/” fix: 修复Beetl模板引擎无法生成注释 fix: 修复Types.DOUBLE类型无法映射 fix: 修复转换父类公共字段报错 fix: 修复生成器无法通过cfg.取值 fix: 修复单元测试下MockBean时事务回滚失

Java 开源开发平台 O2OA V7.2.0 发布,新增系统配置图形化模块和企业文件模块!

2022-09-06

端app工作附件上传支持文件和图片 问题修复 [平台安全]安全漏洞修复 [流程引擎]修复了增加待办权限判断错误的问题 [脚本执行]修复了无法正确翻译javaScirpt原生数组的问题 [平台附件]修复了在线打开TXT和HTML文件显示乱码的

BeetlSQL 3.23.9 发布,SQL防火墙支持

2023-08-08

,性能提升30% 如下给高仿myabtis的xml语法,使用了Beetl模板引擎实现 <?xml version="1.0" encoding="UTF-8" ?> <beetlsql> <sql id="testAll"> <!-- 测试sql --> select * from sys_user <where> <if test="has(user) and user.name=='a'">

🎉OpenTiny 开源啦!面向未来,为开发者而生

2023-04-01

Vue2 / Vue3 / Angular 多技术栈,拥有主题配置系统 / 中后台模板 / CLI 命令行等效率提升工具,可帮助开发者高效开发 Web 应用。 OpenTiny 孵化自华为云和流程IT,经过九年持续打磨,服务于华为内外部上千个项目,千锤百炼,是一个

Java 生态的新星燃起,Solon v2.4.0 发布

2023-07-22

月,v2.0 发布。官网增加 Solon Initializr,用于生成项目模板。 2023年4月,成为信通院可信开源社区、可信开源项目。Maven 单月下载量突破100万。代码提交数超 11000 次 2023年6月,Maven 单月下载量突破200万。官网资料超 500 个

Zinc v0.2.9 发布,轻量级全文索引引擎

2022-08-22

#431) 14ea067 fix: #439 (#440) a85dea0 fix:使用模板创建索引 (#442) 197486c fix: 不返回空错误(#418) 6c66cee fix: 模板不适用于设置 (#446) 3b295d8 实现 es 别名 api  (#409) b493a71 使最大文档大小可配置。(#426

熱門推薦