PT-2024-38072 · Jinja+1 · Jinja+1
Strcxy
·
Publicado
2024-08-01
·
Atualizado
2024-08-02
·
CVE-2024-7093
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Dispatch (versões afetadas não especificadas)
Descrição
O problema decorre do fato de o serviço de notificação do Dispatch utilizar modelos Jinja para gerar mensagens aos usuários. Como o Jinja permite a execução de código dentro de blocos e esses blocos não foram devidamente sanitizados ou isolados em sandbox, os usuários podem criar modelos de mensagem personalizados que incluem scripts de linha de comando. Esses scripts são executados quando as notificações são renderizadas e enviadas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dispatch
Jinja