Version < 6.1.1
docker run -p 3000:3000 --env SQLPAD_ADMIN=admin --env SQLPAD_ADMIN_PASSWORD=admin sqlpad/sqlpad:6.10.0
在server\lib\render-connection.js中对建立连接的各项参数进行渲染,其中当渲染database时,也就是key='data'时,使用了lodash模板的template方法对传入的database值直接进行编译,造成了模板注入。
Version < 6.1.1
docker run -p 3000:3000 --env SQLPAD_ADMIN=admin --env SQLPAD_ADMIN_PASSWORD=admin sqlpad/sqlpad:6.10.0
在server\lib\render-connection.js中对建立连接的各项参数进行渲染,其中当渲染database时,也就是key='data'时,使用了lodash模板的template方法对传入的database值直接进行编译,造成了模板注入。