漏洞概述 漏洞类型:SSTI/RCE(服务器端模板注入/远程代码执行) 漏洞编号:CWE-94(代码注入)、CWE-1336(模板引擎注入) 根本原因: 中的 AST 验证被绕过,导致模板渲染时发生不安全的表达式求值 两个利用机制: 1. v0.1.8-alpha 和 v0.1.9-alpha: 函数存在逻辑缺陷,属性白名单仅验证 节点,但 节点(如 )可绕过检查 2. v0.2.0-alpha: 直接使用 ,完全无任何 AST 验证 攻击者可通过 Python 对象模型访问 、 、 、 、 、 等实现 RCE --- 影响范围 --- 利用代码(POC) v0.1.8-alpha 和 v0.1.9-alpha v0.2.0-alpha --- 修复方案 修复版本:最新主分支(提交 62cf6e47,2025-02-24) 修复措施:引入基于 AST 的 类 正确验证所有 AST 节点类型(包括 属性) 阻止访问私有属性(以 开头) 将方法调用限制在白名单内 建议:用户应升级至使用 AST 基础评估器的最新版本