漏洞关键信息 漏洞标题 Remote code execution as the web server user abusing server-side template injection in Xibo CMS module templates 严重性 High (7.2 / 10) 影响版本 >=4.1.0-alpha, Add/Edit custom modules and templates”功能的,可以利用此漏洞。该功能默认仅对超级管理员启用。 部署配置: 当Xibo CMS以推荐配置部署时,它是容器化的,此漏洞利用不会逃逸容器。 修复建议 用户应升级到版本4.3.1以修复此问题。 宿主Xibo CMS的客户已修补了所有易受攻击的版本。 强烈建议升级到4.3.1而不是对早期次要版本应用增量补丁。 临时缓解措施 4.2版本补丁:1和2 4.1版本补丁:1和2 披露时间线(UTC) 2023年10月3日13:00 - 首次提交咨询 2023年10月3日14:45 - Xibo确认并提供补丁 2023年10月6日11:00 - 更新咨询 2023年10月14日09:00 - 版本4.3.1发布 2023年11月4日11:15 - 公开披露 致谢 漏洞由Cristian Branet发现。