CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-64087

Critical
Published: Translated: NVD NIST

Summary

W komponentach FreeMarker w wersjach od 1.0.0 do 2.1.0 XDocReport występuje podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Umożliwia ona atakującym wykonywanie dowolnego kodu poprzez wstrzykiwanie spreparowanych wyrażeń szablonów.

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów korzystających z XDocReport. Atakujący mogą uzyskać pełną kontrolę nad serwerem, co może skutkować utratą danych lub kompromitacją systemu.

Recommendation

Zaleca się aktualizację komponentu XDocReport do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto przeprowadzić audyt kodu oraz monitorować aplikacje w celu wykrycia potencjalnych prób ataków.

Original NVD description (English source)

A Server-Side Template Injection (SSTI) vulnerability in the FreeMarker component of opensagres XDocReport v1.0.0 to v2.1.0 allows attackers to execute arbitrary code via injecting crafted template expressions.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS