Asciidoctor是一个快速文本处理器和发布工具链，用于将文本内容转为HTML,PDF,PPT或者其他格式，默认提供了一系列样式,用于表现HTML内容。它是使用 Ruby 编写的，可以在任何 Ruby 运行时上使用，包括 JRuby。它也可以通过 AsciidoctorJ 运行在 Java 虚拟机上，正式的 Java API 是由下面的 JRuby 来完成的，也可以有通过 Asciidoctor.js 在 JavaScript 中使用，Asciidoctor.js 是基于 Ruby 代码的转换编译出来的。Asciidoctor 是使用 MIT 协议发布的开源项目。Asciidoctor gem 发布到了 rubygems.org，可以被安装到数个流行的 Linux 发行版上。
近期，Asciidoctor 官方发布漏洞预警，Asciidoctor-include-ext 存在命令注入漏洞（CVE-2022-24803）。受该漏洞影响，可在目标主机执行任意命令。

攻击者可通过对用户提供输入时数据进行渲染，从而导致在目标主机执行任意命令。攻击者发送恶意命令语句，对目标执行各种操作，包括执行恶意软件、数据泄露。获取企业敏感信息，继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。

Asciidoctor-include-ext (RubyGems) <0.4.0

严重

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。引用:
https://github.com/jirutka/asciidoctor-include-ext/tags

END

长按识别二维码，了解更多