漏洞关键信息总结 漏洞概述 PyBlade模板引擎存在服务器端模板注入(SSTI)和远程代码执行(RCE)漏洞,源于不安全的表达式求值。攻击者可通过Python对象模型( 、 、 等)绕过AST验证执行任意代码。 两种利用机制: --- 影响范围 受影响版本:v0.1.8-alpha、v0.1.9-alpha、v0.2.0-alpha 漏洞类型:CWE-94(代码注入)、CWE-1336(模板引擎注入) --- 利用代码(POC) v0.1.8-alpha / v0.1.9-alpha 利用代码: v0.2.0-alpha 利用代码: --- 修复方案 修复版本:主分支最新版本(Commit: 62c96e7,2026-02-24) 修复措施:引入基于AST的 类 - 正确验证所有AST节点类型(包括 属性) - 阻断私有属性访问(以 开头) - 将方法调用限制在白名单内 建议:用户升级至最新版本。