FreeCMS 是一款免費開源的內容管理系統，專為網站建設和管理設計。它的核心特性在于提供了一個靈活、可擴展的平臺，讓開發者和非技術人員都能輕松地創建和維護網站內容。這款系統基于強大的技術棧，旨在簡化網站開發流程，提高效率，并降低運營成本。根據國家網絡安全職能部門近期通報，FreeCMS 開源框架存在 SSTI 模板注入高危漏洞。經初步驗證，攻擊者可利用該漏洞實施遠程命令執行，進而控制服務器，篡改網站頁面，傳播病毒木馬、竊取數據信息。

鑒于該漏洞危害性大，且暫無官方補丁，請各單位增強網絡安全防護意識，重點做好以下工作：一是組織本單位排查FreeCMS 開源框架使用情況；二是受影響單位在確保安全的前提下對網頁內容進行嚴格的輸入過濾和輸出編碼；三是加強網絡安全監測，若發生相關網絡安全事件，各單位應按照《教育系統網絡安全事件應急預案》及《河南省教育系統網絡安全事件應急預案（2022 修訂版）》要求，第一時間上報，并采取有效措施將負面影響降到最低。 文檔編號:HERCERT-SW-202410-30-01

防護措施 

1.輸入驗證：對所有輸入數據進行嚴格的驗證和過濾，確保輸入符合預期的格式和類型；

2.使用白名單：限制模板引擎中可用的對象和方法，只允許安全的操作；

3.更新和維護：及時更新模板引擎和相關的庫，修復已知的安全漏洞；

4.安全配置：合理配置模板引擎的使用環境，限制其權限和訪問范圍；

5.監控和日志記錄：對模板引擎的調用進行監控和日志記錄，及時發現異常行為。

通過以上措施，可以有效降低 SSTI 漏洞的風險，保護服務器和用戶數據的安全。