Beetl 模板引擎 3.15.1 发布，安全漏洞修复-低调大师

Beetl 模板引擎 3.15.1 发布，安全漏洞修复

2023-04-02 257

本次主要修复了安全漏洞：Beetl 存在 SSTI 漏洞[BUG]。此漏洞不像JSON序列化工具安全漏洞具有普遍性，漏洞只会发生于"在线运行模板引擎"的系统

如果不使用此版本，为了避免漏洞，可以禁用Beetl本地Class调用，也可以自定义安全管理器，加上对java.lang.Class.forName的限制

public class YourNativeSecurityManager implements NativeSecurityManager {

   
    @Override
    public boolean permit(Object resourceId, Class c, Object target, String method) {
        
        String className = ....;
        String pkgName = ....;
        
        if (pkgName.startsWith("java.lang")) {
            return !className.equals("Runtime")
                    && !className.equals("Process")
                    && !className.equals("ProcessBuilder")
					&& !className.equals("Class")
                    && !className.equals("System");
        }

        if(pkgName.startsWith("sun.misc")){
        	return false;
		}

        return true;
    }

}

<dependency>
    <groupId>com.ibeetl</groupId>
    <artifactId>beetl</artifactId>
    <version>3.15.1.RELEASE</version>
</dependency>

微信关注我们

原文链接：https://www.oschina.net/news/235132/beetlsql-3-15-1-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

SMS Aggregation 短信聚合 1.0.3 版本正式发布

SMS Aggregation短信聚合 1.0.3版本正式发布现已发布至maven中央仓库本次更新除了前一版本的bug修复之外，还额外增加了华为云国内短信的支持截止目前版本已经支持了阿里云国内短信华为云国内短信腾讯云国内短信 unisms短信云片短信五家短信厂商，在后续的版本中将陆续的支持更多的厂商官方文档 gitee地址 **您的支持是我最大的动力，如果你觉得还不错，请用你发财的小手帮我点一个 ⭐️⭐️⭐️Star⭐️⭐️⭐️ 使用方式 maven引入 <dependency> <groupId>kim.wind</groupId> <artifactId>sms-aggregation-spring-boot-starter</artifactId> <version> 1.0.3 </version> </dependency> 短信配置 sms: # 短信服务商 supplier: huawei huawei: #华为短信应用app...

2023-04-02

208

修复开发模式SQL文件不能自动刷新的BUG 在MarkDown管理SQL的能力外，新增XML文件管理SQL，并提供类似MyBatis的XML语法标签(基于Beetl对XML标签支持）。 <?xml version="1.0" encoding="UTF-8" ?> <beetlsql> <sql id="testIf"> select * from sys_user where 1=1 <if test="name!=null"> and name != #{name} </if> </sql> <sql id="testIsNotEmpty"> select * from sys_user where 1=1 <isNotEmpty value="name"> and name=#{name} </isNotEmpty> </sql> <sql id="testIsBlank"> select * from sys_us...

2023-04-03

208

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。