Все бюллетени/sisyphus/ALT-PU-2019-2664-3
ALT-PU-2019-2664-3

Обновление пакета python-module-jinja2 в ветке sisyphus

Версия2.10.1-alt1
Задание#237301
Опубликовано2026-02-04
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (4)

BDU:2019-01179
HIGH8.2

Уязвимость функции from_string шаблонизатора Jinja2 для языка программирования Python, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Опубликовано: 2019-03-27Изменено: 2021-03-23
CVSS 3.xВЫСОКАЯ 8.2
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
CVSS 2.0ВЫСОКАЯ 8.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:C/A:N
Ссылки
CVE-2019-10906
HIGH8.6

In Pallets Jinja before 2.10.1, str.format_map allows a sandbox escape.

Опубликовано: 2019-04-07Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Ссылки
CVE-2019-8341
CRITICAL9.8

An issue was discovered in Jinja2 2.10. The from_string function is prone to Server Side Template Injection (SSTI) where it takes the "source" parameter as a template object, renders it, and then returns it. The attacker can exploit it with {{INJECTION COMMANDS}} in a URI. NOTE: The maintainer and multiple third parties believe that this vulnerability isn't valid because users shouldn't use untrusted templates without sandboxing

Опубликовано: 2019-02-15Изменено: 2024-11-21
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки
GHSA-462w-v97r-4m45
HIGH7.7

Jinja2 sandbox escape via string formatting

Опубликовано: 2019-04-10Изменено: 2024-09-24
CVSS 3.xВЫСОКАЯ 7.7
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
CVSS 4.0ВЫСОКАЯ 7.7
CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N
Ссылки