PT-2025-8914 · Unknown · Io.Pebbletemplates:Pebble

Jonathan Leitschuh

Publicado

2025-02-27

Atualizado

2026-06-05

CVE-2025-1686

CVSS v3.1

6.8

Média

Vetor

AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

Nome do Software Vulnerável e Versões Afetadas io.pebbletemplates:pebble versões (versões afetadas não especificadas)

Descrição A vulnerabilidade permite que um atacante controle nomes de arquivos ou caminhos por meio da tag include, potencialmente acessando arquivos locais sensíveis, como /etc/passwd ou /proc/1/environ, ao criar modelos de notificação maliciosos.

Recomendações Para mitigar este problema, desative a macro include no Pebble Templates utilizando o seguinte código Java:

java

new PebbleEngine.Builder()
      .registerExtensionCustomizer(new DisallowExtensionCustomizerBuilder()
          .disallowedTokenParserTags(List.of("include"))
          .build())
      .build();

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-73

Identificadores relacionados

CVE-2025-1686

GHSA-P75G-CXFJ-7WRX

Produtos afetados

Io.Pebbletemplates:Pebble

PT-2025-8914 · Unknown · Io.Pebbletemplates:Pebble

CVE-2025-1686

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 16