Katalog CVE

CVE-2026-40478

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.78%

Percentyl 51 — wyżej niż 51% wszystkich znanych CVE

Streszczenie

Thymeleaf w wersjach do 3.1.3.RELEASE zawiera podatność na obejście zabezpieczeń w mechanizmie wykonywania wyrażeń. Mimo że biblioteka zapewnia ochronę przed wstrzykiwaniem wyrażeń, nie neutralizuje prawidłowo określonych wzorców składniowych, co umożliwia wykonanie nieautoryzowanych wyrażeń. Jeśli programista przekaże niesprawdzone dane wejściowe użytkownika bezpośrednio do silnika szablonów, nieuwierzytelniony atakujący zdalnie może ominąć zabezpieczenia i przeprowadzić atak typu Server-Side Template Injection (SSTI).

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości zdalnego wykonania nieautoryzowanych wyrażeń po stronie serwera przez nieuwierzytelnionego atakującego, co może prowadzić do wycieku danych, modyfikacji szablonów lub dalszej eskalacji ataku w środowisku produkcyjnym.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki Thymeleaf do wersji 3.1.4.RELEASE lub nowszej oraz wdrożenie walidacji wszystkich danych wejściowych użytkownika przed przekazaniem ich do silnika szablonów.

Oryginalny opis (angielski, źródło NVD)

Thymeleaf is a server-side Java template engine for web and standalone environments. Versions 3.1.3.RELEASE and prior contain a security bypass vulnerability in the the expression execution mechanisms. Although the library provides mechanisms to prevent expression injection, it fails to properly neutralize specific syntax patterns that allow for the execution of unauthorized expressions. If an application developer passes unvalidated user input directly to the template engine, an unauthenticated remote attacker can bypass the library's protections to achieve Server-Side Template Injection (SSTI). This issue has ben fixed in version 3.1.4.RELEASE.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS