VU#244846: Уязвимость Server-S... Заметка

VU#244846: Уязвимость Server-Side Template Injection (SSTI) существует в Genshi

Движок шаблонов Genshi страдает от уязвимости к внедрению шаблонов на стороне сервера (SSTI). Уязвимость возникает из-за небезопасной оценки выражений шаблонов с использованием функций Python eval() и exec(). Genshi позволяет доступ к встроенным объектам Python во время оценки выражений. Злоумышленник может использовать это поведение для выполнения произвольного кода на сервере. Злоумышленник получает контроль, влияя на или внедряя вредоносные выражения шаблонов. Этот контроль может привести к удаленному выполнению кода (RCE) с привилегиями приложения. Воздействие включает команды операционной системы, доступ к данным и компрометацию сервера. Предоставленный документ предлагает стратегии смягчения, такие как предотвращение ввода недоверенного кода и изоляция шаблонов. На данный момент нет официального патча от Genshi, чтобы устранить уязвимость. Отчет выражает благодарность Джангву Чо и Майклу Браггу за их вклад.