FusionAuth是一款访问管理开源应用程序,可以与多种技术和平台集成。可以通过管理仪表板以多种方式配置和自定义FusionAuth,为任何应用程序提供身份验证、授权和用户管理。

在1.11之前版本,由于使用Apache FreeMarker模板引擎,且未对用户输入数据进行过滤。登录用户在进行电子邮件模板编辑时,可利用Apache FreeMarker模板引擎,调用freemarker.template.utility.Execute在底层操作系统上执行任意命令。

漏洞影响范围:FusionAuth<=1.10.1。

规则防护:云防火墙基础规则已支持防护。

规则类型:命令执行。

危险等级:高危。

安全建议:
  • 升级FusionAuth版本。
  • 使用云防火墙的入侵防御功能进行安全防护。