### 关键信息: - **代码修改报告**:这是对`Jinja2`模板引擎的`el/ext`模块下的`Jinja2BeanELResolverTest.java`文件进行更改的提交。 - **更改内容**:更改涉及到对`AutoCloseableSupplier.AutoCloseableImpl`的调用方式,主要是因为`AutoCloseableSupplier`在JDK 2.7及相关版本并不支持,所以转而使用`Jinja2Interpreter.pushCurrent`与`Jinja2Interpreter.popCurrent`方法来管理`Jinja2Interpreter`的状态。 - **相关测试**: - `itDoesNotAllowAccessingPropertiesOfInt tríterper`:测试防止通过`BeanELResolver`非法访问`Jinja2Interpreter`对象的情况。 - `itDoesNotGettingFromObjectMapper`:测试禁止从`ObjectMapper`获取对象。 - `itDoesNotAllowInvokingFrom Object Mapper`与`itDoesNotAllowInvokingFromMethod`:防止通过`ObjectMapper`或自定义方法调用`BeanELResolver`的`invoke`方法,若尝试则将引发`NoSuchMethodException`。 ### 关键漏洞信息: - 该次提交可能是在修复`Jinja2`模板引擎中潜在的安全漏洞,主要目标是限制或杜绝恶意用户利用`BeanELResolver`非法访问或操控`Jinja2Interpreter`或通过`ObjectMapper`及其他方法非法调用受保护的系统方法,这可能指向存在代码注入或任意代码执行的隐患。