关于FreeCMS开源框架存在高危漏洞的情况通报

FreeCMS是一款免费开源的内容管理系统，专为网站建设和管理设计。它的核心特性在于提供了一个灵活、可扩展的平台，让开发者和非技术人员都能轻松地创建和维护网站内容。这款系统基于强大的技术栈，旨在简化网站开发流程，提高效率，并降低运营成本。

根据国家网络安全职能部门近期通报，FreeCMS开源框架存在SSTI模板注入高危漏洞。经初步验证，攻击者可利用该漏洞实施远程命令执行，进而控制服务器，篡改网站页面，传播病毒木马、窃取数据信息。

鉴于该漏洞危害性大，且暂无官方补丁，请各单位增强网络安全防护意识，重点做好以下工作：一是组织本单位排查FreeCMS开源框架使用情况；二是受影响单位在确保安全的前提下对网页内容进行严格的输入过滤和输出编码；三是加强网络安全监测，若发生相关网络安全事件，各单位应按照《教育系统网络安全事件应急预案》及《河南省教育系统网络安全事件应急预案（2022修订版）》要求，第一时间上报，并采取有效措施将负面影响降到最低。

防护措施

1.输入验证：对所有输入数据进行严格的验证和过滤，确保输入符合预期的格式和类型；

2.使用白名单：限制模板引擎中可用的对象和方法，只允许安全的操作；

3.更新和维护：及时更新模板引擎和相关的库，修复已知的安全漏洞；

4.安全配置：合理配置模板引擎的使用环境，限制其权限和访问范围；

5.监控和日志记录：对模板引擎的调用进行监控和日志记录，及时发现异常行为。

通过以上措施，可以有效降低SSTI漏洞的风险，保护服务器和用户数据的安全。