CVE-2026-45017
HighCVSS 7.5Summary
Python Liquid to silnik Pythona dla języka szablonów Liquid. W wersjach przed 2.2.0, wbudowane FileSystemLoader i CachingFileSystemLoader nie chroniły przed odczytem plików spoza swoich ścieżek wyszukiwania, gdy podano absolutną ścieżkę do rozwiązania, co umożliwiało złośliwym autorom szablonów ładowanie i renderowanie dowolnych plików.
Risk Assessment
Zagrożenie to pozwala na wczytywanie i renderowanie nieautoryzowanych plików, co może prowadzić do ujawnienia wrażliwych danych lub wykonania złośliwego kodu. Organizacje powinny być świadome ryzyka związanego z używaniem nieaktualnych wersji oprogramowania.
Recommendation
Zaleca się aktualizację do wersji 2.2.0 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, warto przeprowadzić audyt używanych szablonów w celu wykrycia potencjalnych zagrożeń.
Original NVD description (English source)
Python Liquid is a Python engine for the Liquid template language. Prior to 2.2.0, the built-in FileSystemLoader and CachingFileSystemLoader do not guard against reading files outside their search paths when given an absolute path to resolve. This allows malicious template authors to load and render arbitrary files via the {% include %} and {% render %} tags. Targeted files would need to contain valid Liquid markup and be readable by the application process. This vulnerability is fixed in 2.2.0.

