当前位置：首页 > article >正文

别再乱用Freemarker了！从Jeecg-Boot的CVE-2023-4450漏洞，聊聊SQL解析中的代码注入风险

article 2026/3/29 10:38:59

从CVE-2023-4450看动态SQL解析的安全陷阱Freemarker模板引擎的致命误用在快速迭代的企业级开发中报表功能往往被视为非核心模块而被草率实现。2023年曝光的Jeecg-Boot漏洞(CVE-2023-4450)给我们上了一课——一个未授权接口中的Freemarker误用竟能让攻击者直接获得服务器root权限。这不仅是某个框架的个案更是暴露了开发者在动态SQL处理时的系统性安全盲区。1. 漏洞解剖当SQL解析遇上FreemarkerJeecg-Boot的/jmreport/queryFieldBySql接口本意是提供灵活的报表字段查询功能却因三个致命设计缺陷沦为RCE通道未授权访问接口未做任何身份校验原始SQL拼接直接将用户输入的SQL片段拼接到查询语句危险模板函数使用Freemarker的?new()执行任意类实例化攻击者只需发送如下精心构造的请求即可执行系统命令{ sql: select #assign ex\freemarker.template.utility.Execute\?new() ${ ex(\whoami\) } }这个案例中Freemarker不再是简单的模板引擎而是变成了攻击者的代码执行沙箱。其核心威胁来自两个特性?new()函数允许实例化任意Java类表达式求值动态执行字符串内容2. Freemarker的安全雷区比想象更危险许多开发者认为模板引擎只是无害的文本处理器但Freemarker的这几个特性在错误使用时极其危险危险特性风险等级典型误用场景?new()致命实例化Runtime/ProcessBuilderClass.forName()高危动态加载恶意类include指令中高危包含服务器敏感文件宏定义中危注入恶意逻辑代码特别值得注意的是即使禁用?new()以下表达式仍然可能造成信息泄露#assign uriobject.getClass().getResource(/).toURI() ${uri}3. 安全编码实践从防御到设计3.1 输入过滤的局限性常见的黑名单过滤方式存在根本缺陷// 不安全的过滤示例 if (sql.contains(?new()) || sql.contains(Runtime)) { throw new IllegalArgumentException(); }攻击者可以通过以下方式绕过Unicode编码\u003fnew()字符串拼接freemarker.template.utility.concat(Execute)反射调用getClass().getClassLoader().loadClass()3.2 白名单参数化方案安全的实现应包含以下层次接口权限控制PreAuthorize(hasRole(REPORT_VIEWER)) PostMapping(/queryFieldBySql) public Result? queryFieldBySql(RequestBody ReportQueryDTO dto) { // ... }SQL参数化处理String safeSql SELECT * FROM report WHERE id ?; jdbcTemplate.query(safeSql, new Object[]{dto.getSqlParam()});Freemarker安全配置# application.properties spring.freemarker.settings.new_builtin_class_resolverrestrictive spring.freemarker.settings.template_exception_handlerrethrow3.3 架构级解决方案对于需要动态SQL的报表系统建议采用以下架构[前端] → [参数校验层] → [SQL模板引擎] → [预编译执行] ↓ [行为审计日志]其中SQL模板引擎应仅支持特定语法子集禁用所有反射功能实现语法树静态分析4. 企业级防御体系构建单点修复远远不够需要建立全链路防护开发阶段安全编码培训组件安全评估清单自动化SAST扫描测试阶段# 使用OWASP ZAP进行API测试 zap-cli active-scan -r http://localhost:8080/api/运行阶段部署RASP防护网络层命令执行检测最小权限容器化某金融企业的实际防护方案显示多层防御可拦截99.7%的注入攻击网络防火墙 → WAF → 应用权限控制 → 参数校验 → 安全SQL组件 → 数据库审计5. 漏洞排查清单立即检查你的项目是否存在以下风险[ ] 是否直接拼接用户输入到SQL[ ] 是否使用?new()等危险模板函数[ ] 是否配置了Freemarker的安全选项[ ] 是否对报表接口进行权限控制[ ] 是否记录所有动态查询日志对于使用Jeecg-Boot的项目紧急措施包括升级到JimuReport 1.6.1临时禁用queryFieldBySql接口审查所有使用Freemarker的代码在最近一次内部审计中我们发现即使是一些看似无害的配置项如允许模板包含外部文件也可能成为攻击突破口。安全无小事每个设计决策都需要以最坏情况为前提进行验证。

别再乱用Freemarker了！从Jeecg-Boot的CVE-2023-4450漏洞，聊聊SQL解析中的代码注入风险

相关文章：

别再乱用Freemarker了！从Jeecg-Boot的CVE-2023-4450漏洞，聊聊SQL解析中的代码注入风险

mT5中文-base零样本增强模型效果展示：客服对话意图泛化与槽位值增强案例

地热模拟实战：当岩石遇上高温水流

RWKV7-1.5B-g1a实操手册：curl命令调用generate接口+参数组合避坑指南

【PyO3/Rust-Python测试权威框架】：Rust生态下Python扩展的零信任CI流水线设计

人工智能入门全景图：Nanbeige 4.1-3B带你梳理AI核心概念与技术栈

经典蓝牙Sniff Mode的功耗优化策略与应用场景解析

基于LSTM时间序列预测思想优化百川2-13B的对话连贯性

2026年重庆桶装水工厂，这些经营要点与避坑指南你知道吗？

本科生 AI 写论文天花板！Paperxie 智能写作：从选题到成稿全流程，零焦虑搞定毕业论文

5分钟快速搭建你的第一个Gemini AI智能体应用：完整开发指南

终极指南：如何用F3工具3分钟识别U盘和SD卡的真实容量

Hunyuan-MT-7B应用实践：出版社AI辅助审校系统——中英日韩多语对照翻译

Flutter开发踩坑记：CocoaPods安装失败全流程解决方案（含Ruby版本升级）

RDF实战指南：从入门到精通

图像标注难题如何破解？LabelImg工具全面解析与实战指南

别再只卷CNN了！用强化学习（RL）给YOLOv5打个辅助，实现工业零件精准定位（附PyTorch代码）

排序算法---（四）

SQL调优实战手册：索引、并行、参数调优一站式解决方案

告别跨平台存储难题：exfat-nofuse内核驱动深度实战指南

Youtu-VL-4B-Instruct图文理解效果集锦：源码部署后生成100+张高质量图片描述样例

3步解决AtlasOS中Xbox控制器驱动问题：从连接失败到畅玩游戏

利用M2LOrder实现安全高效的内网穿透方案设计与验证

【技术解析】MapReduce：大规模集群上的高效数据处理框架

别再手动复制数组了！用NumPy广播机制5分钟搞定形状不同的数组运算

终极指南：用WinDiskWriter在Mac上制作Windows启动盘，简单三步搞定

矩阵按键扫描技术对比：行列扫描与反转扫描的实战解析

Awoo Installer：多场景文件部署的跨平台解决方案

OFA图像描述模型在STM32嵌入式系统的边缘计算应用

LFM2.5-1.2B-Thinking-GGUF快速上手：使用Ollama本地化部署与管理