1. Jinja2 Sandbox Bypass漏洞曝光:Qbeast-spark依赖库存在CVE-2024-56326高危风险
Qbeast-io/qbeast-spark项目因使用存在安全漏洞的Jinja2模板引擎,面临代码执行风险。GitHub安全实验室最新披露的CVE-2024-56326(GHSA-q2x7-8rv6-6q7h)显示,Jinja沙箱环境在检测str.format方法调用时存在逻辑缺陷,攻击者可通过间接引用绕过年sandbox防护,在模板内容受控的场景下执行任意Python代码。该漏洞被定性为中等严重程度,但实际危害取决于应用程序是否允许处理不可信模板。 漏洞根源在于Jinja沙箱虽能拦截直接的形式调用,但未能防御通过变量传递的间接format方法引用。Dependabot安全警报显示,qbeast-spark运行时依赖的jinja2...