CVE-2026-9558
CriticalSummary
W Mautic występuje podatność typu Server-Side Template Injection (SSTI) w silniku szablonów. Użytkownicy z odpowiednimi uprawnieniami mogą wykorzystać tę lukę do wykonania dowolnego kodu na serwerze lub uzyskania dostępu do zastrzeżonych plików systemowych i ustawień konfiguracyjnych.
Risk Assessment
Organizacja narażona jest na zdalne wykonanie kodu oraz nieautoryzowany dostęp do wrażliwych danych, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Recommendation
Zaleca się ograniczenie uprawnień użytkowników do tworzenia i przesyłania szablonów oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak sandboxing dla szablonów Twig.
Original NVD description (English source)
A Server-Side Template Injection (SSTI) vulnerability exists in Mautic's theme engine. The platform renders uploaded Twig templates without a sandbox or strict function restrictions. Authenticated users with permissions to create or upload themes can abuse this to execute arbitrary code on the hosting server (Remote Code Execution) or access restricted system files and configuration settings.

