关键信息 漏洞描述: 漏洞类型: 可能的远程代码执行 (RCE) 当读取用户定义的数据。 受影响版本: >=0.7.0, <3.0.0 修复版本: 3.0.0 影响范围与详情: 中包含解析模板值的功能,当秘密值以 开头时, 会将其余内容解释为 Jinja2 模板。 Jinja2 是一种强大的模板引擎,如果被恶意利用,可触发任意代码执行,导致远程代码执行 (RCE) 风险。 攻击者可以通过控制 Jinja2 模板在机器上触发任意代码。如果 Vault 的内容完全可信,则不是问题;否则,如果威胁模型中包含攻击者可通过 操纵从 Vault 读取的秘密值,则可能造成影响。 修复措施: 在 3.0.0 版本中,与解析 Vault 模板的秘密值相关的代码已被完全移除。 缓解措施(不升级的情况下): 使用环境变量 或者命令行标志 ,或者在 配置文件中设置 。 如使用 Python 库,则可以通过 创建不解析模板秘密的客户端。 其他: CVE ID: CVE-2021-43837 CVSS v3 评分: 8.5 ( 级别) 参考资料: 关于 Jinja2 模板潜在风险的额外文章 进一步信息: 如有疑问或评论,可直接在 项目仓库 提交问题。