CVE-2025-27137

Nome do Software Vulnerável e Versões Afetadas Versões do Dependency-Track anteriores à 4.12.6

Descrição Esta vulnerabilidade permite que usuários com a permissão SYSTEM CONFIGURATION façam uso indevido da tag include em modelos de notificação, potencialmente vazando arquivos locais sensíveis, como /etc/passwd ou /proc/1/environ, ao incluí-los nos modelos de notificação e enviar as notificações para um destino controlado.

Recomendações Para versões anteriores à 4.12.6, evite atribuir a permissão SYSTEM CONFIGURATION a usuários não confiáveis, pois esta permissão representa um risco de segurança se concedida a usuários ou equipes não administrativos. Atualize para a versão 4.12.6 ou posterior, na qual a tag include não pode mais ser utilizada e seu uso causará falha na avaliação do modelo.