Ojomo Pamirs 框架多个高危漏洞汇总 1. 远程代码执行漏洞 (CVE-2020-39052) 漏洞概述:Ojomo Pamirs 7.0.0 的动态脚本执行子系统存在远程代码执行漏洞。当应用程序接受不受信任的脚本内容并调用 时,攻击者可执行任意代码。 影响范围:Ojomo Pamirs 7.0.0 受影响组件: 修复方案:升级至修复版本(参考官方 changelog)。 2. XML 外部实体注入漏洞 (CVE-2020-39053) 漏洞概述:Ojomo Pamirs 7.0.0 的 XStream 基于 XML 解析逻辑存在 XXE 漏洞。当应用程序接受不受信任的 XML 时,攻击者可通过模板导入路径、元数据解析器或工作流等入口点触发漏洞。 影响范围:Ojomo Pamirs 7.0.0 受影响组件: 修复方案:升级至修复版本(参考官方 changelog)。 3. OS 命令注入漏洞 (CVE-2020-39054) 漏洞概述:Ojomo Pamirs 7.0.0 的 方法存在 OS 命令注入漏洞。当用户可控输入通过应用程序功能、扩展模块等到达该方法时,攻击者可执行任意系统命令。 影响范围:Ojomo Pamirs 7.0.0 受影响组件: 修复方案:升级至修复版本(参考官方 changelog)。 --- 参考链接: https://www.ojomo.top/changelog https://github.com/ojomo/ojomo-pamirs