Beetl 模板引擎 3.15.1 发布,安全漏洞修复

2023-04-03 發表於 开源资讯

本次主要修复了安全漏洞:Beetl 存在 SSTI 漏洞[BUG]。此漏洞不像JSON序列化工具安全漏洞具有普遍性,漏洞只会发生于"在线运行模板引擎"的系统

如果不使用此版本,为了避免漏洞,可以禁用Beetl本地Class调用,也可以自定义安全管理器,加上对java.lang.Class.forName的限制

public class YourNativeSecurityManager implements NativeSecurityManager {

 
@Override
public boolean permit(Object resourceId, Class c, Object target, String method) {

String className = ....;
String pkgName = ....;

if (pkgName.startsWith("java.lang")) {
return !className.equals("Runtime")
&& !className.equals("Process")
&& !className.equals("ProcessBuilder")
					&& !className.equals("Class")
&& !className.equals("System");
}

if(pkgName.startsWith("sun.misc")){
	return false;
		}

return true;
}

}
<dependency>
<groupId>com.ibeetl</groupId>
<artifactId>beetl</artifactId>
<version>3.15.1.RELEASE</version>
</dependency>

相關推薦

Beetl 模板引擎 3.15.12 发布,Java 模板引擎

2023-12-12

Beetl研发自2010年,国内流行Java模板引擎 文档 源码 在线体验 模板性能测试 表达式引擎性能测试  性能优化指南  本次调整 *  修复自从2019年Beeetl2升级到Beetl3,不支持自定义方法提供的Context参数问

Beetl 模板引擎 3.15.7 发布,Java 模板引擎

2023-07-13

> </dependency> 文档 源码 在线体验 模板性能测试 表达式引擎性能测试  性能优化指南  最新模板性能测试,各个模板引擎均采用最新版本, Score 越大越好 Beetl>Rocker>>Freemarker>>Thy

BeetlSQL 3.19.3 发布,流行 Java ORM 工具

2022-11-01

3.19.0 发版中query.between 实现的bug 2 使用最新的beetl版本,模板相关sql性能带来小幅度提升 maven <dependency> <groupId>com.ibeetl</groupId> <artifactId>beetlsql</artifactId> <version>3.19.3-RELEASE</version> </dependency>

👍JeeSite V5.8.1 发布,新增国密、开源更多组件、Vue 快速开发平台、微服务

2024-08-14

函数、js 组件插件等 增加 Excel 导入导出测试类,增加模板导出方法及测试类 新增 Excel 导入导出支持 ExcelFields 注解添加到类上 新增 SM2Utils、SM3Utils、SM4Utils 国密算法工具类及测试类 新增 encrypt.defaultKey 参数,适用于

🔥 Solon v2.7.5 发布(你想要吗?)

2024-04-18

solon.web.flux) 添加 SolonException 异常基类 添加 solon.view 模板渲染器指定视图前缀的构造函数 添加 solon.view 模板渲染器的容器注册(提供容器扩展方式) 添加 solon.data TranUtils:getConnectionProxy 接口,方便不同的事务对接 添加 solo

BeetlSQL 3.21.0 发布,支持 XML 管理 SQL 文件

2023-04-03

查询映射(complexMapping),直接执行 sql (executeJdbc), 执行模板 sql (executeTemplate), 执行文件中的模板 sql ( File), 内置插入(insert),Query 调用链 (Query), 翻页查询 (pageQuery), 内置主键查询 (selectById), one2Many 自动关联查询    Ben

🍁CXYGZL - 工作流 V2.0.6,支持动态路由节点跳转

2023-08-01

CXYGZL 介绍 现在开源的工作流引擎,基本都是以 BPMN.js 为基础的,导致使用门槛过高,非专业人员无法驾驭。本工作流借鉴钉钉 / 飞书的方式,以低代码方式降低用户使用门槛,即使是普通企业用户也可以几分钟内就能搭建自己

冰盾 · 主动防御 3.3 版本发布,功能遥遥领先

2023-10-18

禁止进程启动、文档保护、隐私保护),而且设计了基于模板+参数的规则引擎,大大降低了防御规则的编辑难度,同时还提供规则市场,让规则的分享和获取变得触手可及。 在性能上,冰盾规则引擎采用双缓存模式,匹配的效

Solon v2.2.6 发布,助力信创国产化

2023-03-22

插件(引用) 新增 solon-job 插件(为 Solon Initializr 生成模板项目提供便利) 新增 solon-web-beetl 插件 新增 solon-web-enjoy 插件 增加 应用元信息 "solon.app.meta" 配置支持 增加 应用标签 "solon.app.tags" 配置支持 增加 nacos-solon-cloud

MybatisPlus 发布 3.5.3.2 版本,你要的功能都更新了

2023-08-10

将原有的“.”替换成了文件分隔符“/” fix: 修复Beetl模板引擎无法生成注释 fix: 修复Types.DOUBLE类型无法映射 fix: 修复转换父类公共字段报错 fix: 修复生成器无法通过cfg.取值 fix: 修复单元测试下MockBean时事务回滚失

Java 开源开发平台 O2OA V7.2.0 发布,新增系统配置图形化模块和企业文件模块!

2022-09-06

端app工作附件上传支持文件和图片 问题修复 [平台安全]安全漏洞修复 [流程引擎]修复了增加待办权限判断错误的问题 [脚本执行]修复了无法正确翻译javaScirpt原生数组的问题 [平台附件]修复了在线打开TXT和HTML文件显示乱码的

BeetlSQL 3.23.9 发布,SQL防火墙支持

2023-08-08

,性能提升30% 如下给高仿myabtis的xml语法,使用了Beetl模板引擎实现 <?xml version="1.0" encoding="UTF-8" ?> <beetlsql> <sql id="testAll"> <!-- 测试sql --> select * from sys_user <where> <if test="has(user) and user.name=='a'">

wangmarketCMS v7.0,增加 AI 全自动 SEO 优化推广能力

2024-07-25

符丢失影响 fileupload-framework-ueditor 增加对ueditor上传保存模板的单独自定义 将网站中图片上传接口从 sitecontroller 剥离出来 模板导入优化,避免模板名字异常导致找不到本地私有的模板 优化 Template.replaceAll 以避免某些极端

🎉OpenTiny 开源啦!面向未来,为开发者而生

2023-04-01

Vue2 / Vue3 / Angular 多技术栈,拥有主题配置系统 / 中后台模板 / CLI 命令行等效率提升工具,可帮助开发者高效开发 Web 应用。 OpenTiny 孵化自华为云和流程IT,经过九年持续打磨,服务于华为内外部上千个项目,千锤百炼,是一个

熱門推薦