一、漏洞概要
漏洞名称 |
FreeCMS 2.x SSTI模版注入漏洞 |
发布时间 |
2024年11月8日 |
组件名称 |
FreeCMS |
影响范围 |
FreeCMS2.x |
漏洞类型 |
命令执行 |
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 |
<综合评定利用难度>:容易,无需授权即可造成远程命令执行。 <综合评定威胁等级>:严重,能造成远程命令执行。 |
官方解决方案 |
未发布 |
二、漏洞分析
2.1组件介绍
FreeCMS是一款基于Java技术的开源内容管理系统(CMS)。它主要用于构建和管理网站内容,提供了一系列功能来帮助用户轻松创建、编辑和发布网页。
2.2漏洞描述
FreeCMS 2.x版本中存在模板注入漏洞,未经授权的攻击者可以利用该漏洞执行任意命令,导致服务器失陷。
三、影响范围
目前受影响的FreeCMS版本:
FreeCMS2.x
四、漏洞复现
深信服深瞳漏洞实验室已复现该漏洞。
五、解决方案
5.1修复建议
1.如何检测组件系统版本
后台主页记录了当前版本信息。
2.官方修复建议
官方已停止维护该组件,建议受影响用户调整业务或者避免服务器对公网开放。
