Katalog CVE

CVE-2026-0685

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.73%

Percentyl 49 — wyżej niż 49% wszystkich znanych CVE

Streszczenie

Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolny kod na serwerze, co prowadzi do pełnej kompromitacji systemu, kradzieży danych lub przejęcia kontroli nad aplikacją.

Rekomendacja

Należy natychmiast zaktualizować silnik szablonów Genshi do najnowszej dostępnej wersji, która usuwa tę podatność, oraz unikać używania niezaufanych danych wejściowych w wyrażeniach szablonów.

Oryginalny opis (angielski, źródło NVD)

Server side template inject (SSTI) in the expression evaluation component in Genshi Template Engine version 0.7.9 allows a remote attacker to achieve remote code execution (RCE) via crafted template expressions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS