(CVE-2021-26120)(CVE-2021-29454)
Smarty template_object沙箱逃逸PHP代码注入漏洞(CVE-2021-26120)
漏洞介绍:CVE-2021-26120是由于Smarty暴露了template_object属性,攻击者可利用该漏洞获得权限的情况下,构造恶意数据,最终造成远程代码执行。
您没有 权限 查看此处内容!
Smarty 3.1.41/4.0.1 TEMPLATE 权限升级漏洞(CVE-2021-29454)
漏洞介绍:Smarty 是 PHP 的模板引擎,有助于将表示 (HTML/CSS) 与应用程序逻辑分离。在 3.1.42 和 4.0.2 版本之前,模板作者可以通过制作恶意数学字符串来运行任意 PHP 代码。如果数学字符串作为用户提供的数据传递给数学函数,则外部用户可以通过制作恶意数学字符串来运行任意 PHP 代码。
您没有 权限 查看此处内容!
