我将 issue 中提到的视频链接转移到 github comment 便于观看:
202403131519955.mov

漏洞提交请遵循： https://github.com/halo-dev/halo/blob/main/SECURITY.md

Hi @L1nyz-tel , thank you for reaching out here!

目前，Halo 主程序暂时没有对插件进行任何限制，等待插件系统稳定后，会慢慢考虑加固。

我这里有以下几个建议：

1. 不要安装未知来源的插件
2. 尽量用低权限用户运行 Halo 系统
3. 尽量用 Docker 运行 Halo 系统

Hi @L1nyz-tel , thank you for reaching out here!

目前，Halo 主程序暂时没有对插件进行任何限制，等待插件系统稳定后，会慢慢考虑加固。

我这里有以下几个建议：

1. 不要安装为止来源的插件
2. 尽量用低权限用户运行 Halo 系统
3. 尽量用 Docker 运行 Halo 系统

是的,总结非常到位🫡, 这也是我们很长一段时间都没有考虑提供 JAR 包给用户的原因之一,插件目前还可以操作文件,如果你

1. 不使用 Docker 部署
2. 使用高权限用户运行
3. Halo 还安装未知来源的插件

那么你就会面临服务器重要文件被获取或者删除的风险

/kind needs-information
/priority awaiting-more-evidence
/area plugin

@guqing: The label(s) kind/needs-information cannot be applied, because the repository doesn't have them.
In response to this:
/kind needs-information
/priority awaiting-more-evidence
/area plugin

Instructions for interacting with me using PR comments are available here . If you have questions or suggestions related to my behavior, please file an issue against the kubernetes/test-infra repository.