关键信息总结 1. 漏洞类型 Eval注入:代码中使用了 函数,可能导致代码注入攻击。 2. 文件和代码变更 lib/Sheet/Tracker/Field/Compound.php - 修改了 方法,增加了对公式的安全检查。 - 引入了 静态方法,用于清理输入数据。 lib/Sheet/smarty.php - 添加了 方法,防止模板中的 注入。 lib/Sheet/include/core/APC.php - 替换了 实例化,避免基于反射的实例化。 lib/Sheet/include/org/apigen/io/CZip.php - 修改了 函数,移除了 调用。 lib/Sheet/include/org/apigen/io/CDir.php - 修改了 函数,移除了 调用。 3. 安全措施 输入验证:增加了对输入数据的验证和清理,确保只允许安全的字符和值。 代码审查:通过代码审查和测试,确保修改后的代码没有引入新的漏洞。 4. 相关人员 提交者:Eliezer Mukiisa Dan 提交时间:一周前 相关MR:!705 (closed) 和 !706 (closed) 5. 测试结果 Pipeline #575598222:通过测试,但有警告。 `` eval`函数的使用进行了安全加固,以防止潜在的代码注入攻击。