Katalog CVE

CVE-2026-45017

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Python Liquid to silnik Pythona dla języka szablonów Liquid. W wersjach przed 2.2.0, wbudowane FileSystemLoader i CachingFileSystemLoader nie chroniły przed odczytem plików spoza swoich ścieżek wyszukiwania, gdy podano absolutną ścieżkę do rozwiązania, co umożliwiało złośliwym autorom szablonów ładowanie i renderowanie dowolnych plików.

Ocena ryzyka

Zagrożenie to pozwala na wczytywanie i renderowanie nieautoryzowanych plików, co może prowadzić do ujawnienia wrażliwych danych lub wykonania złośliwego kodu. Organizacje powinny być świadome ryzyka związanego z używaniem nieaktualnych wersji oprogramowania.

Rekomendacja

Zaleca się aktualizację do wersji 2.2.0 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, warto przeprowadzić audyt używanych szablonów w celu wykrycia potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

Python Liquid is a Python engine for the Liquid template language. Prior to 2.2.0, the built-in FileSystemLoader and CachingFileSystemLoader do not guard against reading files outside their search paths when given an absolute path to resolve. This allows malicious template authors to load and render arbitrary files via the {% include %} and {% render %} tags. Targeted files would need to contain valid Liquid markup and be readable by the application process. This vulnerability is fixed in 2.2.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS