VU#244846: Genshi에서 Server-Sid... 노트

VU#244846: Genshi에서 Server-Side Template Injection (SSTI) 취약점 존재

Genshi 템플릿 엔진은 Server-Side Template Injection (SSTI) 취약점에 취약합니다. 이 취약점은 Python의 eval()exec() 함수를 사용하여 템플릿 표현식을 안전하지 않게 평가하는 데에서 비롯됩니다. Genshi는 표현식 평가 중에 Python의 내장 객체에 대한 폴백 액세스를 허용합니다. 공격자는 이 동작을 악용하여 서버에서 임의의 코드를 실행할 수 있습니다. 공격자는 악의적인 템플릿 표현식을 영향하거나 주입함으로써 제어를 얻습니다. 이 제어는 원격 코드 실행(RCE)으로 이어질 수 있으며, 이는 애플리케이션의 권한으로 수행됩니다. 영향에는 운영 체제 명령, 데이터 액세스 및 서버 위협이 포함됩니다. 제공된 문서에서는 신뢰할 수 없는 입력을 방지하고 템플릿을 샌드박싱하는 것과 같은 완화 전략을 제공합니다. 현재 Genshi에서 취약점을 해결하기 위한 공식 패치가 존재하지 않습니다. 보고서는 Jangwoo Choe와 Michael Bragg의 기여를 인정합니다.