FreeCMS 是一款免費開源的內(nèi)容管理系統(tǒng)，專為網(wǎng)站建設和管理設計。它的核心特性在于提供了一個靈活、可擴展的平臺，讓開發(fā)者和非技術人員都能輕松地創(chuàng)建和維護網(wǎng)站內(nèi)容。這款系統(tǒng)基于強大的技術棧，旨在簡化網(wǎng)站開發(fā)流程，提高效率，并降低運營成本。根據(jù)國家網(wǎng)絡安全職能部門近期通報，F(xiàn)reeCMS 開源框架存在 SSTI 模板注入高危漏洞。經(jīng)初步驗證，攻擊者可利用該漏洞實施遠程命令執(zhí)行，進而控制服務器，篡改網(wǎng)站頁面，傳播病毒木馬、竊取數(shù)據(jù)信息。

鑒于該漏洞危害性大，且暫無官方補丁，請各單位增強網(wǎng)絡安全防護意識，重點做好以下工作：一是組織本單位排查FreeCMS 開源框架使用情況；二是受影響單位在確保安全的前提下對網(wǎng)頁內(nèi)容進行嚴格的輸入過濾和輸出編碼；三是加強網(wǎng)絡安全監(jiān)測，若發(fā)生相關網(wǎng)絡安全事件，各單位應按照《教育系統(tǒng)網(wǎng)絡安全事件應急預案》及《河南省教育系統(tǒng)網(wǎng)絡安全事件應急預案（2022 修訂版）》要求，第一時間上報，并采取有效措施將負面影響降到最低。 文檔編號:HERCERT-SW-202410-30-01

防護措施 

1.輸入驗證：對所有輸入數(shù)據(jù)進行嚴格的驗證和過濾，確保輸入符合預期的格式和類型；

2.使用白名單：限制模板引擎中可用的對象和方法，只允許安全的操作；

3.更新和維護：及時更新模板引擎和相關的庫，修復已知的安全漏洞；

4.安全配置：合理配置模板引擎的使用環(huán)境，限制其權限和訪問范圍；

5.監(jiān)控和日志記錄：對模板引擎的調(diào)用進行監(jiān)控和日志記錄，及時發(fā)現(xiàn)異常行為。

通過以上措施，可以有效降低 SSTI 漏洞的風險，保護服務器和用戶數(shù)據(jù)的安全。