PT-2024-1412 · Jinja2+10 · Jinja2+10
Calumhutton
·
Publicado
2024-01-10
·
Atualizado
2026-06-03
·
CVE-2024-22195
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Jinja2 (versões afetadas não especificadas)
Descrição
O Jinja é um mecanismo de modelos extensível que permite escrever código com sintaxe semelhante à do Python. O filtro
xmlattr do Jinja pode ser explorado para injetar chaves e valores arbitrários de atributos HTML, contornando o mecanismo de escapamento automático e potencialmente levando a um ataque de Cross-Site Scripting (XSS). Também pode ser possível contornar verificações de validação de atributos se elas forem baseadas em lista negra. O filtro xmlattr nas versões afetadas do Jinja aceita chaves contendo espaços, o que pode ser usado para injetar outros atributos e realizar XSS.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Jinja2
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu