以下是从该网页截图中获取到的关于漏洞的关键信息,以简洁的Markdown格式呈现: 漏洞信息 CVE编号: CVE-2021-46361 漏洞名称: FreeMarker 限制绕过漏洞 影响系统: Magnolia CMS (版本 <= 6.2.11) 漏洞描述 描述: Magnolia CMS 使用 FreeMarker 模板解析器来显示动态内容。尽管应用对危险元素如 FreeMarker 的“?new”内置函数、“class”、“getClass”和/或“forName”进行了限制,但存在绕过这些限制的方法,可被攻击者利用以获得远程代码执行(RCE)。 漏洞利用 利用方式: 通过构造特定的 FreeMarker Server-Side Template Injection (SSTI) 代码,绕过模板解析器的限制,利用反射加载危险的 FreeMarker 类,从而实现 RCE。 漏洞利用代码示例 证据 证明概念: 修改 文件,插入上述 SSTI 代码后,访问相关页面执行了 命令,成功绕过限制并执行了系统命令。 参考资源 关于 Magnolia CMS 的漏洞披露和修复详情 关于FreeMarker SSTI漏洞的更多详细信息 利用 CVE-2021-25770 的详细说明 这些信息揭示了 Magnolia CMS 中存在的 FreeMarker 限制绕过漏洞,以及攻击者如何利用该漏洞进行远程代码执行攻击的详细过程。