Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-1336
CWE-1336: Improper Neutralization of Special Elements Used in a Template Engine
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2023-07142 | Уязвимость интерфейса управления программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагированием на инциденты в режиме реального времени Fortinet FortiSOAR, позволяющая нарушителю выполнить произвол... |
| BDU:2023-07399 | Уязвимость контроллера 3D-принтера OctoPrint, связанная с ошибками при нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02464 | Уязвимость CMS-системы Grav CMS, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03227 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, связанная с ошибками при нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03248 | Уязвимость пакета html/template языка программирования Go, связанная с отсутствием проверки входных значений, позволяющая нарушителю вводить произвольный контент в шаблоны |
| BDU:2024-05175 | Уязвимость файлового сервера HTTP File Server, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-06586 | Уязвимость плагина WPML системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10171 | Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с неверным управлением генерацией кода, позволяющая нарушителю осуществить SSRF-атаку |
| BDU:2024-10434 | Уязвимость библиотеки для оптимизации моделей машинного обучения Intel Neural Compressor, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00113 | Уязвимость метода str.format() инструмента для html-шаблонизации jinja, позволяющая нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2025-02579 | Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с неправильной нейтрализацией специальных элементов, используемых в шаблонизаторе, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-05912 | Уязвимость программного обеспечения централизованного управления резервным копированием и восстановлением данных Dell PowerProtect Data Manager, связанная с неверным управлением генерацией кода, позволяющая нарушителю получить несанкционированный дос... |
| BDU:2025-06562 | Уязвимость компилятора инструмента для html-шаблонизации jinja, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09256 | Уязвимость сценария ciwweb.pl программного обеспечения для создания и проведения опросов Lighthouse Studio, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14790 | Уязвимость облачной платформы аналитики Elastic Cloud Enterprise, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю получить доступ к конфиденциальной информации и выполнить произ... |
| BDU:2026-00217 | Уязвимость функции constructFromCanonical() библиотеки рендеринга шаблонов jinjava, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00290 | Уязвимость функции makeProcessFunction() файла /applications/core/modules/front/system/themeeditor.php программного обеспечения для организации веб-форумов Invision Community (ранее IPS Community Suite), позволяющая нарушителю выполнить произвольный... |
| BDU:2026-00422 | Уязвимость фреймворка Frappe, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольный код |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2021-39128 | Affected versions of Atlassian Jira Server or Data Center using the Jira Service Management addon allow remote attackers with... |
| CVE-2021-4315 | NYUCCL psiTurk experiment.py special elements used in a template engine |
| CVE-2022-0323 | Improper Neutralization of Special Elements Used in a Template Engine in bobthecow/mustache.php |
| CVE-2022-0896 | Improper Neutralization of Special Elements Used in a Template Engine in microweber/microweber |
| CVE-2022-0944 | Template injection in connection test endpoint leads to RCE in sqlpad/sqlpad |
| CVE-2022-25813 | Server-Side Template Injection affecting the ecommerce plugin of Apache OFBiz |
| CVE-2022-27662 | On F5 Traffix SDC 5.2.x versions prior to 5.2.2 and 5.1.x versions prior to 5.1.35, a stored Cross-Site Template Injection vu... |
| CVE-2023-2017 | Improper Control of Generation of Code in Twig Rendered Views in Shopware |
| CVE-2023-2259 | Improper Neutralization of Special Elements Used in a Template Engine in alfio-event/alf.io |
| CVE-2023-27995 | A improper neutralization of special elements used in a template engine vulnerability in Fortinet FortiSOAR 7.3.0 through 7.3... |
| CVE-2023-29297 | Admin-to-admin stored XSS via cache poisoning |
| CVE-2023-34252 | Grav Server-side Template Injection via Insufficient Validation in filterFilter |
| CVE-2023-34253 | Grav vulnerable to Server-side Template Injection (SSTI) via Denylist Bypass |
| CVE-2023-34448 | Grav Server-side Template Injection (SSTI) via Twig Default Filters |
| CVE-2023-41047 | Improper Neutralization of Special Elements Used in a Template Engine in OctoPrint |
| CVE-2023-46245 | Kimai (Authenticated) SSTI to RCE by Uploading a Malicious Twig File |
| CVE-2023-47542 | A improper neutralization of special elements used in a template engine [CWE-1336] in FortiManager versions 7.4.1 and below,... |
| CVE-2023-5764 | Ansible: template injection |
| CVE-2023-6709 | Improper Neutralization of Special Elements Used in a Template Engine in mlflow/mlflow |
| CVE-2024-12583 | Dynamics 365 Integration <= 1.3.23 - Authenticated (Contributor+) Remote Code Execution and Arbitrary File Read via Twig Serv... |
| CVE-2024-23692 | Rejetto HTTP File Server 2.3m Unauthenticated RCE |
| CVE-2024-25624 | iris-web vulnerable to Server Side Template Injection in reports |
| CVE-2024-28116 | Server-Side Template Injection (SSTI) with Grav CMS security sandbox bypass |
| CVE-2024-30372 | Allegra getLinkText Server-Side Template Injection Remote Code Execution Vulnerability |
| CVE-2024-32651 | Server Side Template Injection in Jinja2 allows Remote Command Execution |
| CVE-2024-34710 | Wiki.js Stored XSS through Client Side Template Injection |
| CVE-2024-35191 | verbb/formie Server-Side Template Injection for variable-enabled settings |
| CVE-2024-37301 | document-merge-service vulnerable to Remote Code Execution via Server-Side Template Injection |
| CVE-2024-38363 | Remote Code Execution (RCE) via Server Side Template Injection (SSTI) in Airbyte |
| CVE-2024-39766 | Improper neutralization of special elements used in SQL command in some Intel(R) Neural Compressor software before version v3... |
| CVE-2024-4040 | Unauthenticated arbitrary file read and remote code execution in CrushFTP |
| CVE-2024-41950 | Insecure Jinja2 templates rendered in Haystack Components can lead to RCE |
| CVE-2024-42355 | Shopware vulnerable to Server Side Template Injection in Twig using deprecation silence tag |
| CVE-2024-42356 | Shopware vulnerable to Server Side Template Injection in Twig using Context functions |
| CVE-2024-45053 | Remote Code Execution Vulnerability via SSTI in Fides Webserver Jinja Email Templating Engine |
| CVE-2024-48042 | WordPress Contact Form by Supsystic plugin <= 1.7.28 - Remote Code Execution (RCE) vulnerability |
| CVE-2024-48962 | Apache OFBiz: Bypass SameSite restrictions with target redirection using URL parameters (SSTI and CSRF leading to RCE) |
| CVE-2024-49271 | WordPress Unlimited Elements For Elementor (Free Widgets, Addons, Templates) plugin <= 1.5.121 - Remote Code Execution (RCE)... |
| CVE-2024-52393 | WordPress Podlove Podcast Publisher plugin <= 4.1.15 - Admin+ Remote Code Execution (RCE) vulnerability |
| CVE-2024-52427 | WordPress Event Tickets with Ticket Scanner plugin <= 2.3.11 - Remote Code Execution (RCE) vulnerability |
| CVE-2024-52434 | WordPress Popup by Supsystic plugin <= 1.10.29 - Remote Code Execution (RCE) vulnerability |
| CVE-2024-55652 | PwnDoc Server-Side Template Injection vulnerability - Sandbox Escape to RCE using custom filters |
| CVE-2024-55660 | SiYuan has an SSTI via /api/template/renderSprig |
| CVE-2024-56326 | Jinja has a sandbox breakout through indirect reference to format method |
| CVE-2024-6386 | WPML Multilingual CMS <= 4.6.12 - Authenticated(Contributor+) Remote Code Execution via Twig Server-Side Template Injection |
| CVE-2024-7129 | Appointment Booking Calendar < 1.6.7.43 - Admin+ Template Injection to RCE |
| CVE-2024-8238 | Unrestricted Code Execution in aimhubio/aim |
| CVE-2024-9150 | Code Injection in Wyn Enterprise |
| CVE-2025-10380 | Advanced Views – Display Posts, Custom Fields, and More <= 3.7.19 - Authenticated (Author+) Remote Code Execution via SSTI |
| CVE-2025-1040 | Server-Side Template Injection (SSTI) in significant-gravitas/autogpt |
| CVE-2025-2040 | zhijiantianya ruoyi-vue-pro deploy special elements used in a template engine |
| CVE-2025-23211 | Tandoor Recipes - SSTI - Remote Code Execution |
| CVE-2025-23376 | Dell PowerProtect Data Manager Reporting, version(s) 19.16, 19.17, 19.18, contain(s) an Improper Neutralization of Special El... |
| CVE-2025-26789 | An issue was discovered in Logpoint AgentX before 1.5.0. A vulnerability caused by limited access controls allowed li-admin u... |
| CVE-2025-26865 | Apache OFBiz: Server-Side Template Injection affecting the ecommerce plugin leading to possible RCE |
| CVE-2025-27516 | Jinja sandbox breakout through attr filter selecting format method |
| CVE-2025-32461 | wikiplugin_includetpl in lib/wiki-plugins/wikiplugin_includetpl.php in Tiki before 28.3 mishandles input to an eval. The fixe... |
| CVE-2025-34300 | Sawtooth Software Lighthouse Studio < 9.16.14 Pre-Authentication RCE |
| CVE-2025-35113 | Agiloft improper neutralization in EUI template engine |
| CVE-2025-37729 | Elastic Cloud Enterprise (ECE) Improper Neutralization of Special Elements Used in a Template Engine |
| CVE-2025-3841 | wix-incubator jam Jinja2 Template jam.py special elements used in a template engine |
| CVE-2025-46661 | IPW Systems Metazo through 8.1.3 allows unauthenticated Remote Code Execution because smartyValidator.php enables the attacke... |
| CVE-2025-46731 | Craft CMS Contains a Potential Remote Code Execution Vulnerability via Twig SSTI |
| CVE-2025-47916 | Invision Community 5.0.0 before 5.0.7 allows remote code execution via crafted template strings to themeeditor.php. The issue... |
| CVE-2025-49136 | listmonk's Sprig template Injection vulnerability leads to reading of Environment Variable for low privilege user |
| CVE-2025-49142 | Nautobot vulnerable to secrets exposure and data manipulation through Jinja2 templating |
| CVE-2025-49619 | Skyvern through 0.1.85 is vulnerable to server-side template injection (SSTI) in the Prompt field of workflow blocks such as... |
| CVE-2025-49828 | Conjur OSS and Secrets Manager, Self-Hosted (formerly Conjur Enterprise) Vulnerable to Remote Code Execution |
| CVE-2025-53194 | WordPress JetEngine <= 3.7.0 - Remote Code Execution (RCE) Vulnerability |
| CVE-2025-5325 | zhilink 智互联(深圳)科技有限公司 ADP Application Developer Platform 应用开发者平台 testService special elements used in a tem... |
| CVE-2025-53833 | LaRecipe is vulnerable to Server-Side Template Injection attacks |
| CVE-2025-53909 | mailcow: dockerized vulnerable to SSTI in Quota and Quarantine Notification Template |
| CVE-2025-54287 | Arbitrary File Read via Template Injection in Snapshot Patterns |
| CVE-2025-57811 | Craft Potential Remote Code Execution via Twig SSTI |
| CVE-2025-59340 | jinjava Sandbox Bypass via JavaType-Based Deserialization |
| CVE-2025-62369 | Xibo CMS: Remote Code Execution through module templates |
| CVE-2025-62416 | bagisto - Server Side Template Injection (SSTI) in Product Description |
| CVE-2025-65106 | LangChain Vulnerable to Template Injection via Attribute Access in Prompt Templates |
| CVE-2025-6518 | PySpur-Dev pyspur Jinja2 Template single_llm_call.py SingleLLMCallNode special elements used in a template engine |
| CVE-2025-66294 | Grav is vulnerable to RCE via SSTI through Twig Sandbox Bypass |
| CVE-2025-66297 | Grav vulnerable to Privilege Escalation and Authenticated Remote Code Execution via Twig Injection |
| CVE-2025-66298 | Grav is vulnerable to Server-Side Template Injection (SSTI) via Forms |
| CVE-2025-66299 | Security Sandbox Bypass with SSTI (Server Side Template Injection) in the Grav CMS |
| CVE-2025-66361 | An issue was discovered in Logpoint before 7.7.0. Sensitive information is exposed in System Processes for an extended period... |
| CVE-2025-6761 | Kingdee Cloud-Starry-Sky Enterprise Edition Freemarker Engine DynamicForm 4 Action.class plugin.buildMobilePopHtml special el... |
| CVE-2025-67843 | A Server-Side Template Injection (SSTI) vulnerability in the MDX Rendering Engine in Mintlify Platform before 2025-11-15 allo... |
| CVE-2025-68454 | Craft CMS vulnerable to potential authenticated Remote Code Execution via Twig SSTI |
| CVE-2025-68929 | Frappe may be vulnerable remote code execution due to server-side template injection |
| CVE-2025-9094 | ThingsBoard Add Gateway special elements used in a template engine |
| CVE-2026-21448 | Bagisto has Normal & Blind SSTI from low-privilege user when ordering product |
| CVE-2026-21449 | Bagisto has SSTI via first and last name from low-privilege user (not admin) |
| CVE-2026-21450 | Bagisto has SSTI in parameter that can lead to RCE |
| CVE-2026-22244 | OpenMetadata Server-Side Template Injection (SSTI) in FreeMarker email templates that leads to RCE |
| CVE-2026-23626 | Kimai Vulnerable to Authenticated Server-Side Template Injection (SSTI) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.