Beetl 模板引擎 3.15.1 发布，安全漏洞修复-低调大师

Beetl 模板引擎 3.15.1 发布，安全漏洞修复

2023-04-02 246

本次主要修复了安全漏洞：Beetl 存在 SSTI 漏洞[BUG]。此漏洞不像JSON序列化工具安全漏洞具有普遍性，漏洞只会发生于"在线运行模板引擎"的系统

如果不使用此版本，为了避免漏洞，可以禁用Beetl本地Class调用，也可以自定义安全管理器，加上对java.lang.Class.forName的限制

public class YourNativeSecurityManager implements NativeSecurityManager {

   
    @Override
    public boolean permit(Object resourceId, Class c, Object target, String method) {
        
        String className = ....;
        String pkgName = ....;
        
        if (pkgName.startsWith("java.lang")) {
            return !className.equals("Runtime")
                    && !className.equals("Process")
                    && !className.equals("ProcessBuilder")
					&& !className.equals("Class")
                    && !className.equals("System");
        }

        if(pkgName.startsWith("sun.misc")){
        	return false;
		}

        return true;
    }

}

<dependency>
    <groupId>com.ibeetl</groupId>
    <artifactId>beetl</artifactId>
    <version>3.15.1.RELEASE</version>
</dependency>

微信关注我们

原文链接：https://www.oschina.net/news/235132/beetlsql-3-15-1-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

SMS Aggregation 短信聚合 1.0.3 版本正式发布

SMS Aggregation短信聚合 1.0.3版本正式发布现已发布至maven中央仓库本次更新除了前一版本的bug修复之外，还额外增加了华为云国内短信的支持截止目前版本已经支持了阿里云国内短信华为云国内短信腾讯云国内短信 unisms短信云片短信五家短信厂商，在后续的版本中将陆续的支持更多的厂商官方文档 gitee地址 **您的支持是我最大的动力，如果你觉得还不错，请用你发财的小手帮我点一个 ⭐️⭐️⭐️Star⭐️⭐️⭐️ 使用方式 maven引入 <dependency> <groupId>kim.wind</groupId> <artifactId>sms-aggregation-spring-boot-starter</artifactId> <version> 1.0.3 </version> </dependency> 短信配置 sms: # 短信服务商 supplier: huawei huawei: #华为短信应用app...

2023-04-02

197

修复开发模式SQL文件不能自动刷新的BUG 在MarkDown管理SQL的能力外，新增XML文件管理SQL，并提供类似MyBatis的XML语法标签(基于Beetl对XML标签支持）。 <?xml version="1.0" encoding="UTF-8" ?> <beetlsql> <sql id="testIf"> select * from sys_user where 1=1 <if test="name!=null"> and name != #{name} </if> </sql> <sql id="testIsNotEmpty"> select * from sys_user where 1=1 <isNotEmpty value="name"> and name=#{name} </isNotEmpty> </sql> <sql id="testIsBlank"> select * from sys_us...

2023-04-03

200

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Oracle

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Apache Tomcat

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

JDK

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。