关键漏洞信息 漏洞概述 CVE编号: CVE-2025-25362 漏洞类型: Server-Side Template Injection (SSTI) 受影响版本: spaCy v8.0.0 至 v9.7.2 影响范围: 允许攻击者通过恶意代码注入执行任意代码 漏洞细节 问题描述: spaCy 的模板引擎在处理用户输入时存在安全漏洞,允许攻击者通过特定的模板语法注入恶意代码。 示例代码: 关键点: 默认模板使用了 ,这使得攻击者可以通过控制 来注入恶意代码。 影响 严重性: 高 潜在风险: 攻击者可以利用此漏洞执行任意代码,导致远程代码执行(RCE)。 修复措施 官方补丁: 开发者已发布新版本修复此漏洞,建议升级至最新版本。 缓解措施: 在生产环境中禁用或限制模板引擎的功能,避免直接使用用户输入生成模板。 结论 此漏洞对使用 spaCy 的系统构成重大威胁,特别是那些依赖于模板引擎功能的应用。及时更新和采取安全措施是防止被利用的关键。