关键漏洞信息 漏洞类型 命令执行漏洞 漏洞描述 系统中存在命令执行漏洞,攻击者可以通过上传恶意文件并触发特定条件来执行系统命令。 漏洞代码位置 类中的 方法 代码行: 漏洞原因 使用了 模板引擎,默认情况下启用了模板解析功能。 在某些情况下,可以利用该功能在页面上执行任意的 Java 代码。 漏洞利用方式 攻击者可以构造一个包含恶意代码的 MultipartFile,并通过 POST 请求上传到 路径。 示例请求: 漏洞影响 攻击者可以执行任意系统命令,如 ,并在页面上显示结果。 漏洞修复建议 禁用或限制模板引擎的模板解析功能。 对上传文件进行严格的安全检查和过滤。