FreeCMS 是一款免費(fèi)開(kāi)源的內(nèi)容管理系統(tǒng)，專(zhuān)為網(wǎng)站建設(shè)和管理設(shè)計(jì)。它的核心特性在于提供了一個(gè)靈活、可擴(kuò)展的平臺(tái)，讓開(kāi)發(fā)者和非技術(shù)人員都能輕松地創(chuàng)建和維護(hù)網(wǎng)站內(nèi)容。這款系統(tǒng)基于強(qiáng)大的技術(shù)棧，旨在簡(jiǎn)化網(wǎng)站開(kāi)發(fā)流程，提高效率，并降低運(yùn)營(yíng)成本。根據(jù)國(guó)家網(wǎng)絡(luò)安全職能部門(mén)近期通報(bào)，F(xiàn)reeCMS 開(kāi)源框架存在 SSTI 模板注入高危漏洞。經(jīng)初步驗(yàn)證，攻擊者可利用該漏洞實(shí)施遠(yuǎn)程命令執(zhí)行，進(jìn)而控制服務(wù)器，篡改網(wǎng)站頁(yè)面，傳播病毒木馬、竊取數(shù)據(jù)信息。

鑒于該漏洞危害性大，且暫無(wú)官方補(bǔ)丁，請(qǐng)各單位增強(qiáng)網(wǎng)絡(luò)安全防護(hù)意識(shí)，重點(diǎn)做好以下工作：一是組織本單位排查FreeCMS 開(kāi)源框架使用情況；二是受影響單位在確保安全的前提下對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行嚴(yán)格的輸入過(guò)濾和輸出編碼；三是加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)，若發(fā)生相關(guān)網(wǎng)絡(luò)安全事件，各單位應(yīng)按照《教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》及《河南省教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（2022 修訂版）》要求，第一時(shí)間上報(bào)，并采取有效措施將負(fù)面影響降到最低。 文檔編號(hào):HERCERT-SW-202410-30-01

防護(hù)措施 

1.輸入驗(yàn)證：對(duì)所有輸入數(shù)據(jù)進(jìn)行嚴(yán)格的驗(yàn)證和過(guò)濾，確保輸入符合預(yù)期的格式和類(lèi)型；

2.使用白名單：限制模板引擎中可用的對(duì)象和方法，只允許安全的操作；

3.更新和維護(hù)：及時(shí)更新模板引擎和相關(guān)的庫(kù)，修復(fù)已知的安全漏洞；

4.安全配置：合理配置模板引擎的使用環(huán)境，限制其權(quán)限和訪問(wèn)范圍；

5.監(jiān)控和日志記錄：對(duì)模板引擎的調(diào)用進(jìn)行監(jiān)控和日志記錄，及時(shí)發(fā)現(xiàn)異常行為。

通過(guò)以上措施，可以有效降低 SSTI 漏洞的風(fēng)險(xiǎn)，保護(hù)服務(wù)器和用戶(hù)數(shù)據(jù)的安全。