系统信息
外部访问地址: http://localhost:8090/
启动时间: 2024-03-13 13:29
版本: 2.14.0-SNAPSHOT
构建时间: 2024-03-13 13:29
Git Commit: 956f4ef
Java: Java(TM) SE Runtime Environment / 17.0.10+11-LTS-240
数据库: H2 / 2.2.224
操作系统: Mac OS X / 14.3.1
已激活主题: Earth
已启动插件:
使用的哪种方式运行?
Source Code
发生了什么?
登陆之后,在安装插件的时候,上传恶意构造的 jar 包可以 rce
示例 jar 包 telllplugin.jar
相关日志输出
No response
附加信息
video 链接: attack.mov
6条答案
按热度按时间w8ntj3qf1#
我将 issue 中提到的视频链接转移到 github comment 便于观看:
202403131519955.mov
eiee3dmh2#
漏洞提交请遵循: https://github.com/halo-dev/halo/blob/main/SECURITY.md
67up9zun3#
Hi @L1nyz-tel , thank you for reaching out here!
目前,Halo 主程序暂时没有对插件进行任何限制,等待插件系统稳定后,会慢慢考虑加固。
我这里有以下几个建议:
ezykj2lf4#
Hi @L1nyz-tel , thank you for reaching out here!
目前,Halo 主程序暂时没有对插件进行任何限制,等待插件系统稳定后,会慢慢考虑加固。
我这里有以下几个建议:
是的,总结非常到位🫡, 这也是我们很长一段时间都没有考虑提供 JAR 包给用户的原因之一,插件目前还可以操作文件,如果你
那么你就会面临服务器重要文件被获取或者删除的风险
axr492tv5#
/kind needs-information
/priority awaiting-more-evidence
/area plugin
fae0ux8s6#
@guqing: The label(s)
kind/needs-information
cannot be applied, because the repository doesn't have them.In response to this:
/kind needs-information
/priority awaiting-more-evidence
/area plugin
Instructions for interacting with me using PR comments are available here . If you have questions or suggestions related to my behavior, please file an issue against the kubernetes/test-infra repository.