Fides — это платформа для проектирования конфиденциальности с открытым исходным кодом. Начиная с версии 2.19.0 и до версии 2.44.0, функция …
Fides — это платформа для проектирования конфиденциальности с открытым исходным кодом. Начиная с версии 2.19.0 и до версии 2.44.0, функция шаблонов электронной почты использует Jinja2 без надлежащей очистки входных данных или ограничений среды рендеринга, что позволяет выполнять инъекцию шаблонов на стороне сервера, которая предоставляет удаленное выполнение кода привилегированным пользователям. Привилегированный пользователь — это пользователь Admin UI с ролью `Owner` или `Contributor` по умолчанию, который может расширить свой доступ и выполнить код в базовом контейнере Fides Webserver, где выполняется функция рендеринга шаблонов Jinja. Уязвимость была устранена в версии Fides `2.44.0`. Пользователям рекомендуется обновиться до этой версии или более поздней, чтобы защитить свои системы от этой угрозы. Обходных путей нет.
Продукт использует шаблонизатор для вставки или обработки входных данных, поступающих извне, однако не нейтрализует или некорректно нейтрализует специальные элементы или синтаксические конструкции, которые при обработке движком могут интерпретироваться как выражения шаблона или иные директивы кода.
https://cwe.mitre.org/data/definitions/1336.html →Открыть в коллекции CWE →