第 6 章修复了安全问题

本节列出了 Red Hat Developer Hub 1.4 中修复的安全问题。

6.1. Red Hat Developer Hub 1.4.3
复制链接

CVE-2025-27516: Jinja 中发现了一个安全漏洞。在受影响的版本中，Jinja 沙盒容器环境如何与 |attr 过滤器交互时，允许控制模板内容执行任意 Python 代码的攻击者。为了利用此漏洞，攻击者需要控制模板的内容。这种情况取决于使用 Jinja 的应用类型。此漏洞会影响执行不受信任的模板的应用程序用户。Jinja 的沙盒会捕获对 str.format 的调用，并确保它们不会转义沙盒。但是，可以使用 |attr 过滤器来获得对字符串纯文本方法的引用，绕过沙盒。
CVE-2025-29774: 在 Node.js 的 xml-crypto 库中发现了一个安全漏洞。攻击者可以利用此漏洞绕过依赖 xml-crypto 的系统中的验证或授权机制来验证签名的 XML 文档。此漏洞允许攻击者以仍然通过签名验证检查的方式修改有效的签名 XML 信息。
CVE-2025-29775: 在 Node.js 的 xml-crypto 库中发现了一个安全漏洞。攻击者可以利用此漏洞绕过依赖 xml-crypto 的系统中的验证或授权机制来验证签名的 XML 文档。此漏洞允许攻击者以仍然通过签名验证检查的方式修改有效的签名 XML 信息。

返回顶部