Katalog CVE

CVE-2026-40477

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.86%

Percentyl 54 — wyżej niż 54% wszystkich znanych CVE

Streszczenie

Thymeleaf w wersjach do 3.1.3.RELEASE zawiera podatność polegającą na obejściu zabezpieczeń mechanizmów wykonywania wyrażeń. Biblioteka nieprawidłowo ogranicza zakres dostępnych obiektów, co umożliwia zdalnemu atakującemu bez autoryzacji osiągnięcie wstrzykiwania wyrażeń po stronie serwera (SSTI) poprzez przekazanie niesprawdzonego wejścia użytkownika do silnika szablonów.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu przez nieuwierzytelnionego atakującego, co może prowadzić do przejęcia kontroli nad serwerem aplikacji, kradzieży danych lub dalszej eskalacji ataku w infrastrukturze.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Thymeleaf do wersji 3.1.4.RELEASE lub nowszej. Dodatkowo zaleca się walidację i sanityzację wszystkich danych wejściowych przekazywanych do silnika szablonów.

Oryginalny opis (angielski, źródło NVD)

Thymeleaf is a server-side Java template engine for web and standalone environments. Versions 3.1.3.RELEASE and prior contain a security bypass vulnerability in the expression execution mechanisms. Although the library provides mechanisms to prevent expression injection, it fails to properly restrict the scope of accessible objects, allowing specific potentially sensitive objects to be reached from within a template. If an application developer passes unvalidated user input directly to the template engine, an unauthenticated remote attacker can bypass the library's protections to achieve Server-Side Template Injection (SSTI). This issue has ben fixed in version 3.1.4.RELEASE.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS