FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Fastify介绍：

Fastify 是一个web 开发框架，其设计灵感来自Hapi 和Express，致力于以最少的开销和强大的插件结构提供最佳的开发体验。据我们所知，它是这个领域里速度最快的web 框架之一。

漏洞概述：

Fastify 的 @fastify/view 插件允许使用 raw: true 进行原始模板渲染。当与 EJS 和不受信任的用户输入一起使用时，这会导致远程代码执行。Fastify 自己的测试文件演示了这种使用模式，但没有发出警告，这可能会误导开发者相信这些危险行为。

影响版本：

fastify/point-of-view < v11.1.0

搭建环境：

使用kali 镜像搭建，kali node 版本如下：

node -v

server.js 文件如下：

// Based on official Fastify re

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）