CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-9558

Critical
Published: Translated: NVD NIST

Summary

W Mautic występuje podatność typu Server-Side Template Injection (SSTI) w silniku szablonów. Użytkownicy z odpowiednimi uprawnieniami mogą wykorzystać tę lukę do wykonania dowolnego kodu na serwerze lub uzyskania dostępu do zastrzeżonych plików systemowych i ustawień konfiguracyjnych.

Risk Assessment

Organizacja narażona jest na zdalne wykonanie kodu oraz nieautoryzowany dostęp do wrażliwych danych, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Recommendation

Zaleca się ograniczenie uprawnień użytkowników do tworzenia i przesyłania szablonów oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak sandboxing dla szablonów Twig.

Original NVD description (English source)

A Server-Side Template Injection (SSTI) vulnerability exists in Mautic's theme engine. The platform renders uploaded Twig templates without a sandbox or strict function restrictions. Authenticated users with permissions to create or upload themes can abuse this to execute arbitrary code on the hosting server (Remote Code Execution) or access restricted system files and configuration settings.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS