Shields.io 是一个用于简洁、一致和清晰徽章的服务,支持 SVG 和光栅格式。使用版本低于 `server-2024-09-25` 的 Shields.io 和用户自行托管盾牌实例将受到动态 JSON/Toml/Yaml 徽章所使用的 JSONPath 库的远程执行漏洞的影响。这一漏洞允许任何有访问权限的用户通过构造恶意的 JSONPath 表达式,对实例的 URL 发起请求并执行代码。所有自行托管实例的用户均可能受到影响。这个问题已在 server-2024-09-25 版本中得到修复。关注标签发布版本的用户应更新至 `server-2024-09-25` 或更高版本。关注 DockerHub 上的滚动标签的用户可以通过执行 `docker pull shieldsio/shields:next` 来更新至最新版本。作为临时解决方案,阻止访问 `/badge/dynamic/json`、`/badge/dynamic/toml` 和 `/badge/dynamic/yaml` 端点(例如,通过防火墙或反向代理在你的实例前面)将防止可利用的端点被访问。
建议您更新当前系统或软件至最新版,完成漏洞的修复。