Dependency-Track – это платформа анализа компонентов, которая позволяет организациям идентифицировать и снижать риски в цепочке поставок программного обеспечения. Dependency-Track позволяет пользователям с разрешением SYSTEM_CONFIGURATION настраивать шаблоны уведомлений. Шаблоны оцениваются с использованием движка шаблонов Pebble. Pebble поддерживает тег include, который позволяет авторам шаблонов включать содержимое произвольных файлов при оценке. До версии 4.12.6 пользователи Dependency-Track с разрешением SYSTEM_CONFIGURATION могут злоупотреблять тегом include, создавая шаблоны уведомлений, которые включают чувствительные локальные файлы, такие как /etc/passwd или /proc/1/environ. Настраивая такой шаблон для правила уведомления (также известного как “Предупреждение”) и отправляя уведомления на адрес, контролируемый злоумышленником, может произойти утечка конфиденциальной информации. Проблема была исправлена в Dependency-Track 4.12.6. В исправленных версиях тег include больше не может быть использован. Использование этого тега приведет к сбою оценки шаблона. В качестве обходного решения избегайте предоставления разрешения SYSTEM_CONFIGURATION ненадежным пользователям. Разрешение SYSTEM_CONFIGURATION по умолчанию предоставляется только членам команды Администраторы. Предоставление этого разрешения неадминистративным пользователям или командам является риском безопасности само по себе и крайне не рекомендуется.