UNKNOWNCVE-2026-28228
CVE-2026-28228:OpenOLAT 远程代码执行漏洞 (RCE)
平台
java
组件
openolat
CVE-2026-28228是OpenOLAT中存在的一个远程代码执行(RCE)漏洞。该漏洞允许具有作者角色的认证用户通过在提醒邮件模板中注入Velocity指令来执行服务器端代码。通过将Velocity的#set指令与Java反射链接,攻击者可以实例化任意Java类,例如java.lang.ProcessBuilder,并以服务器权限执行操作系统命令。受影响的版本包括<=20.2.5。目前官方尚未发布补丁。
修复方法
将 OpenOLAT 更新到 19.1.31、20.1.18 或 20.2.5 版本,或更高版本。这将修复 Velocity 模板中的服务器端模板注入漏洞。
常见问题
什么是CVE-2026-28228漏洞?
CVE-2026-28228是OpenOLAT中的一个远程代码执行漏洞,允许攻击者执行任意系统命令。
我是否受到CVE-2026-28228漏洞的影响?
如果您的OpenOLAT版本小于或等于20.2.5,并且您具有作者角色,那么您可能受到此漏洞的影响。
如何修复或缓解CVE-2026-28228漏洞?
目前没有官方补丁可用。建议限制作者角色的权限,并监控提醒邮件模板的更改。