关键信息 漏洞概述 CVE ID: CVE-2026-25526 Severity: Critical Vulnerability Type: Sandbox Bypass / Remote Code Execution Affected Package: (Maven) Affected Versions: - - Patched Versions: - or later - or later 影响 Affected Component: Jinjava Affected Users: - 使用 HubSpot's Jinjava 模板渲染引擎处理用户提供的模板内容的组织 - 使用 HubSpot's Jinjava 实现渲染不受信任的 Jinja 模板的任何系统 - 能够创建或编辑自定义代码模板的用户 严重性与攻击向量 Severity: 允许任意 Java 类实例化和文件访问,绕过内置的沙箱限制 CVSS Score: 9.8 (Critical severity) Attack Vector: 能够创建或编辑 Jinja 模板的攻击者可以: - 访问模板上下文中对象的任意 getter 方法 - 实例化 ObjectMapper 以启用默认类型 - 通过绕过类型允许列表创建任意 Java 类 - 从服务器文件系统读取文件(如 ) - 潜在执行任意代码 补丁与修复 Status: 已修补 - 待 CVE 发布 升级版本: - JinJava 2.8.3 或更高版本 - JinJava 2.7.6 或更高版本 固定组件 1. ForTag 安全加固:在 中添加安全检查以强制执行 JinjavaBeanELResolver 限制等。 2. 增强类型验证:改进 中的验证机制等。 3. 配置保护:防止通过 ObjectMapper 创建新的 JinjavaConfig 或 JinjavaELContext 实例等。 4. 集合类型验证:在 中实现正确的类型验证等。 5. ObjectMapper 限制:对 添加额外限制等。 参考资料 项目资源: - 源代码: GitHub - HubSpot/jinjava - 发布版本: GitHub - HubSpot/jinjava/releases 安全标准与分类: - CWE-502: 不可信数据的反序列化 - CWE-913: 动态管理代码资源的不当控制 - CWE-94: 代码生成的不当控制(代码注入) - CVSS v3.1: 常见漏洞评分系统 附加参考: - OWASP 模板注入 - Java 反序列化安全 - CVE 标准和程序