Web框架Fastify @fastifyview 模板渲染致远程代码执行漏洞(CVE-2025-47240)
💡
原文中文,约600字,阅读约需2分钟。
📝
内容提要
Fastify是一个高效的web开发框架,受Hapi和Express启发。其@fastify/view插件在raw: true模式下,可能导致远程代码执行,特别是在与EJS和不受信任输入结合时。受影响版本为fastify/point-of-view < v11.1.0。
🎯
关键要点
- Fastify是一个高效的web开发框架,灵感来自Hapi和Express。
- Fastify致力于提供最佳的开发体验,速度是其主要优势之一。
- Fastify的@fastify/view插件在raw: true模式下可能导致远程代码执行。
- 当与EJS和不受信任的用户输入结合使用时,存在安全风险。
- 受影响的版本为fastify/point-of-view < v11.1.0。
➡️
