CVE-2025-64087КритическийПодтвержденаЭксплойт есть
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Уязвимость впрыск шаблонов на стороне сервера (SSTI) в компоненте FreeMarker opensagres XDocReport v1.0.0 до v2.1.0 позволяет злоумышленник…
CVSS
9.8
Критический
EPSS
0.01
p39
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание
Уязвимость впрыск шаблонов на стороне сервера (SSTI) в компоненте FreeMarker opensagres XDocReport v1.0.0 до v2.1.0 позволяет злоумышленникам выполнять произвольный код с помощью инъекций созданных шаблонных выражений.
Теги · CWE
Без аутентификации
CWE-1336
CWE-1336БазаНеполный
Некорректная нейтрализация специальных элементов, используемых в шаблонизаторе
Продукт использует шаблонизатор для вставки или обработки входных данных, поступающих извне, однако не нейтрализует или некорректно нейтрализует специальные элементы или синтаксические конструкции, которые при обработке движком могут интерпретироваться как выражения шаблона или иные директивы кода.
https://cwe.mitre.org/data/definitions/1336.html →Открыть в коллекции CWE →Затронутые продукты
Xdocreport 1.0.0–2.1.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.005 · p39
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2025-64087
github-poc · https://github.com/AT190510-Cuong/CVE-2025-64087-SSTI-
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →