CVE-2025-64087
KrytyczneStreszczenie
W komponentach FreeMarker w wersjach od 1.0.0 do 2.1.0 XDocReport występuje podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Umożliwia ona atakującym wykonywanie dowolnego kodu poprzez wstrzykiwanie spreparowanych wyrażeń szablonów.
Ocena ryzyka
Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów korzystających z XDocReport. Atakujący mogą uzyskać pełną kontrolę nad serwerem, co może skutkować utratą danych lub kompromitacją systemu.
Rekomendacja
Zaleca się aktualizację komponentu XDocReport do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto przeprowadzić audyt kodu oraz monitorować aplikacje w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
A Server-Side Template Injection (SSTI) vulnerability in the FreeMarker component of opensagres XDocReport v1.0.0 to v2.1.0 allows attackers to execute arbitrary code via injecting crafted template expressions.

