Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Поиск
Вход Регистрация

Каталог уязвимостей - CWE - CWE-1336

Каталоги Уязвимости - CWE CWE-1336
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CWE-1336

Improper Neutralization of Special Elements Used in a Template Engine

The product uses a template engine to insert or process externally-influenced input, but it does not neutralize or incorrectly neutralizes special elements or syntax that can be interpreted as template expressions or other code directives when processed by the engine.
Тип уязвимости: Не зависит от других уязвимостей

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
BDU:2023-07142 Уязвимость интерфейса управления программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагированием на инциденты в режиме реального времени Fortinet FortiSOAR, позволяющая нарушителю выполнить произвол...
BDU:2023-07399 Уязвимость контроллера 3D-принтера OctoPrint, связанная с ошибками при нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольный код
BDU:2024-02464 Уязвимость CMS-системы Grav CMS, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
BDU:2024-03227 Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, связанная с ошибками при нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольный код
BDU:2024-03248 Уязвимость пакета html/template языка программирования Go, связанная с отсутствием проверки входных значений, позволяющая нарушителю вводить произвольный контент в шаблоны
BDU:2024-05175 Уязвимость файлового сервера HTTP File Server, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольные команды
BDU:2024-06586 Уязвимость плагина WPML системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код
BDU:2024-10171 Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с неверным управлением генерацией кода, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-10434 Уязвимость библиотеки для оптимизации моделей машинного обучения Intel Neural Compressor, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю повысить свои привилегии
BDU:2025-00113 Уязвимость метода str.format() инструмента для html-шаблонизации jinja, позволяющая нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании
BDU:2025-02579 Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с неправильной нейтрализацией специальных элементов, используемых в шаблонизаторе, позволяющая нарушителю выполнить произвольный код
BDU:2025-05912 Уязвимость программного обеспечения централизованного управления резервным копированием и восстановлением данных Dell PowerProtect Data Manager, связанная с неверным управлением генерацией кода, позволяющая нарушителю получить несанкционированный дос...
BDU:2025-06562 Уязвимость компилятора инструмента для html-шаблонизации jinja, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-09256 Уязвимость сценария ciwweb.pl программного обеспечения для создания и проведения опросов Lighthouse Studio, позволяющая нарушителю выполнить произвольный код
BDU:2025-14790 Уязвимость облачной платформы аналитики Elastic Cloud Enterprise, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю получить доступ к конфиденциальной информации и выполнить произ...
BDU:2026-00217 Уязвимость функции constructFromCanonical() библиотеки рендеринга шаблонов jinjava, позволяющая нарушителю выполнить произвольный код
BDU:2026-00290 Уязвимость функции makeProcessFunction() файла /applications/core/modules/front/system/themeeditor.php программного обеспечения для организации веб-форумов Invision Community (ранее IPS Community Suite), позволяющая нарушителю выполнить произвольный...
BDU:2026-00422 Уязвимость фреймворка Frappe, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольный код
BDU:2026-01950 Уязвимость функций Introspector.getBeanInfo() и PropertyDescriptor.getReadMethod() библиотеки рендеринга шаблонов jinjava, позволяющая нарушителю выполнить произвольный код

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2021-39128 Affected versions of Atlassian Jira Server or Data Center using the Jira Service Management addon allow remote attackers with...
CVE-2021-4315 NYUCCL psiTurk experiment.py special elements used in a template engine
CVE-2022-0323 Improper Neutralization of Special Elements Used in a Template Engine in bobthecow/mustache.php
CVE-2022-0896 Improper Neutralization of Special Elements Used in a Template Engine in microweber/microweber
CVE-2022-0944 Template injection in connection test endpoint leads to RCE in sqlpad/sqlpad
CVE-2022-25813 Server-Side Template Injection affecting the ecommerce plugin of Apache OFBiz
CVE-2022-27662 On F5 Traffix SDC 5.2.x versions prior to 5.2.2 and 5.1.x versions prior to 5.1.35, a stored Cross-Site Template Injection vu...
CVE-2023-2017 Improper Control of Generation of Code in Twig Rendered Views in Shopware
CVE-2023-2259 Improper Neutralization of Special Elements Used in a Template Engine in alfio-event/alf.io
CVE-2023-27995 A improper neutralization of special elements used in a template engine vulnerability in Fortinet FortiSOAR 7.3.0 through 7.3...
CVE-2023-29297 Admin-to-admin stored XSS via cache poisoning
CVE-2023-34252 Grav Server-side Template Injection via Insufficient Validation in filterFilter
CVE-2023-34253 Grav vulnerable to Server-side Template Injection (SSTI) via Denylist Bypass
CVE-2023-34448 Grav Server-side Template Injection (SSTI) via Twig Default Filters
CVE-2023-41047 Improper Neutralization of Special Elements Used in a Template Engine in OctoPrint
CVE-2023-46245 Kimai (Authenticated) SSTI to RCE by Uploading a Malicious Twig File
CVE-2023-47542 A improper neutralization of special elements used in a template engine [CWE-1336] in FortiManager versions 7.4.1 and below,...
CVE-2023-5764 Ansible: template injection
CVE-2023-6709 Improper Neutralization of Special Elements Used in a Template Engine in mlflow/mlflow
CVE-2024-12583 Dynamics 365 Integration <= 1.3.23 - Authenticated (Contributor+) Remote Code Execution and Arbitrary File Read via Twig Serv...
CVE-2024-23692 Rejetto HTTP File Server 2.3m Unauthenticated RCE
CVE-2024-25624 iris-web vulnerable to Server Side Template Injection in reports
CVE-2024-28116 Server-Side Template Injection (SSTI) with Grav CMS security sandbox bypass
CVE-2024-30372 Allegra getLinkText Server-Side Template Injection Remote Code Execution Vulnerability
CVE-2024-32651 Server Side Template Injection in Jinja2 allows Remote Command Execution
CVE-2024-34710 Wiki.js Stored XSS through Client Side Template Injection
CVE-2024-35191 verbb/formie Server-Side Template Injection for variable-enabled settings
CVE-2024-37301 document-merge-service vulnerable to Remote Code Execution via Server-Side Template Injection
CVE-2024-38363 Remote Code Execution (RCE) via Server Side Template Injection (SSTI) in Airbyte
CVE-2024-39766 Improper neutralization of special elements used in SQL command in some Intel(R) Neural Compressor software before version v3...
CVE-2024-4040 Unauthenticated arbitrary file read and remote code execution in CrushFTP
CVE-2024-41950 Insecure Jinja2 templates rendered in Haystack Components can lead to RCE
CVE-2024-42355 Shopware vulnerable to Server Side Template Injection in Twig using deprecation silence tag
CVE-2024-42356 Shopware vulnerable to Server Side Template Injection in Twig using Context functions
CVE-2024-45053 Remote Code Execution Vulnerability via SSTI in Fides Webserver Jinja Email Templating Engine
CVE-2024-48042 WordPress Contact Form by Supsystic plugin <= 1.7.28 - Remote Code Execution (RCE) vulnerability
CVE-2024-48962 Apache OFBiz: Bypass SameSite restrictions with target redirection using URL parameters (SSTI and CSRF leading to RCE)
CVE-2024-49271 WordPress Unlimited Elements For Elementor (Free Widgets, Addons, Templates) plugin <= 1.5.121 - Remote Code Execution (RCE)...
CVE-2024-52393 WordPress Podlove Podcast Publisher plugin <= 4.1.15 - Admin+ Remote Code Execution (RCE) vulnerability
CVE-2024-52427 WordPress Event Tickets with Ticket Scanner plugin <= 2.3.11 - Remote Code Execution (RCE) vulnerability
CVE-2024-52434 WordPress Popup by Supsystic plugin <= 1.10.29 - Remote Code Execution (RCE) vulnerability
CVE-2024-55652 PwnDoc Server-Side Template Injection vulnerability - Sandbox Escape to RCE using custom filters
CVE-2024-55660 SiYuan has an SSTI via /api/template/renderSprig
CVE-2024-56326 Jinja has a sandbox breakout through indirect reference to format method
CVE-2024-6386 WPML Multilingual CMS <= 4.6.12 - Authenticated(Contributor+) Remote Code Execution via Twig Server-Side Template Injection
CVE-2024-7129 Appointment Booking Calendar < 1.6.7.43 - Admin+ Template Injection to RCE
CVE-2024-8238 Unrestricted Code Execution in aimhubio/aim
CVE-2024-9150 Code Injection in Wyn Enterprise
CVE-2025-10380 Advanced Views – Display Posts, Custom Fields, and More <= 3.7.19 - Authenticated (Author+) Remote Code Execution via SSTI
CVE-2025-1040 Server-Side Template Injection (SSTI) in significant-gravitas/autogpt
CVE-2025-2040 zhijiantianya ruoyi-vue-pro deploy special elements used in a template engine
CVE-2025-23211 Tandoor Recipes - SSTI - Remote Code Execution
CVE-2025-23376 Dell PowerProtect Data Manager Reporting, version(s) 19.16, 19.17, 19.18, contain(s) an Improper Neutralization of Special El...
CVE-2025-26789 An issue was discovered in Logpoint AgentX before 1.5.0. A vulnerability caused by limited access controls allowed li-admin u...
CVE-2025-26865 Apache OFBiz: Server-Side Template Injection affecting the ecommerce plugin leading to possible RCE
CVE-2025-27516 Jinja sandbox breakout through attr filter selecting format method
CVE-2025-32461 wikiplugin_includetpl in lib/wiki-plugins/wikiplugin_includetpl.php in Tiki before 28.3 mishandles input to an eval. The fixe...
CVE-2025-34300 Sawtooth Software Lighthouse Studio < 9.16.14 Pre-Authentication RCE
CVE-2025-35113 Agiloft improper neutralization in EUI template engine
CVE-2025-37729 Elastic Cloud Enterprise (ECE) Improper Neutralization of Special Elements Used in a Template Engine
CVE-2025-3841 wix-incubator jam Jinja2 Template jam.py special elements used in a template engine
CVE-2025-46661 IPW Systems Metazo through 8.1.3 allows unauthenticated Remote Code Execution because smartyValidator.php enables the attacke...
CVE-2025-46731 Craft CMS Contains a Potential Remote Code Execution Vulnerability via Twig SSTI
CVE-2025-47916 Invision Community 5.0.0 before 5.0.7 allows remote code execution via crafted template strings to themeeditor.php. The issue...
CVE-2025-49136 listmonk's Sprig template Injection vulnerability leads to reading of Environment Variable for low privilege user
CVE-2025-49142 Nautobot vulnerable to secrets exposure and data manipulation through Jinja2 templating
CVE-2025-49619 Skyvern through 0.1.85 is vulnerable to server-side template injection (SSTI) in the Prompt field of workflow blocks such as...
CVE-2025-49828 Conjur OSS and Secrets Manager, Self-Hosted (formerly Conjur Enterprise) Vulnerable to Remote Code Execution
CVE-2025-53194 WordPress JetEngine <= 3.7.0 - Remote Code Execution (RCE) Vulnerability
CVE-2025-5325 zhilink 智互联(深圳)科技有限公司 ADP Application Developer Platform 应用开发者平台 testService special elements used in a tem...
CVE-2025-53833 LaRecipe is vulnerable to Server-Side Template Injection attacks
CVE-2025-53909 mailcow: dockerized vulnerable to SSTI in Quota and Quarantine Notification Template
CVE-2025-54287 Arbitrary File Read via Template Injection in Snapshot Patterns
CVE-2025-57811 Craft Potential Remote Code Execution via Twig SSTI
CVE-2025-59340 jinjava Sandbox Bypass via JavaType-Based Deserialization
CVE-2025-62369 Xibo CMS: Remote Code Execution through module templates
CVE-2025-62416 bagisto - Server Side Template Injection (SSTI) in Product Description
CVE-2025-65106 LangChain Vulnerable to Template Injection via Attribute Access in Prompt Templates
CVE-2025-6518 PySpur-Dev pyspur Jinja2 Template single_llm_call.py SingleLLMCallNode special elements used in a template engine
CVE-2025-66294 Grav is vulnerable to RCE via SSTI through Twig Sandbox Bypass
CVE-2025-66297 Grav vulnerable to Privilege Escalation and Authenticated Remote Code Execution via Twig Injection
CVE-2025-66298 Grav is vulnerable to Server-Side Template Injection (SSTI) via Forms
CVE-2025-66299 Security Sandbox Bypass with SSTI (Server Side Template Injection) in the Grav CMS
CVE-2025-66361 An issue was discovered in Logpoint before 7.7.0. Sensitive information is exposed in System Processes for an extended period...
CVE-2025-6761 Kingdee Cloud-Starry-Sky Enterprise Edition Freemarker Engine DynamicForm 4 Action.class plugin.buildMobilePopHtml special el...
CVE-2025-67843 A Server-Side Template Injection (SSTI) vulnerability in the MDX Rendering Engine in Mintlify Platform before 2025-11-15 allo...
CVE-2025-68454 Craft CMS vulnerable to potential authenticated Remote Code Execution via Twig SSTI
CVE-2025-68929 Frappe may be vulnerable remote code execution due to server-side template injection
CVE-2025-9094 ThingsBoard Add Gateway special elements used in a template engine
CVE-2026-1868 Improper Neutralization of Special Elements Used in a Template Engine in GitLab AI Gateway
CVE-2026-21448 Bagisto has Normal & Blind SSTI from low-privilege user when ordering product
CVE-2026-21449 Bagisto has SSTI via first and last name from low-privilege user (not admin)
CVE-2026-21450 Bagisto has SSTI in parameter that can lead to RCE
CVE-2026-22244 OpenMetadata Server-Side Template Injection (SSTI) in FreeMarker email templates that leads to RCE
CVE-2026-23626 Kimai Vulnerable to Authenticated Server-Side Template Injection (SSTI)
CVE-2026-25526 JinJava Bypass through ForTag leads to Arbitrary Java Execution
CVE-2026-25731 Calibre Affected by Arbitrary Code Execution via Server-Side Template Injection in Calibre HTML Export
CVE-2026-27464 Metabase: Server-Side Template Injection via Notifications Endpoint Leads to RCE
CVE-2026-2969 datapizza-labs datapizza-ai Jinja2 Template prompt.py ChatPromptTemplate special elements used in a template engine
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.