Все бюллетени/p9/ALT-PU-2020-3106-2
ALT-PU-2020-3106-2

Обновление пакета python-module-jinja2 в ветке p9

Версия2.11.2-alt1
Задание#254838
Опубликовано2024-04-05
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (5)

BDU:2019-01179
HIGH8.2

Уязвимость функции from_string шаблонизатора Jinja2 для языка программирования Python, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Опубликовано: 2019-03-26Изменено: 2021-03-22
CVSS 3.xВЫСОКАЯ 8.2
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
CVSS 2.0ВЫСОКАЯ 8.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:C/A:N
CVE-2014-1402
MEDIUM4.4

The default configuration for bccache.FileSystemBytecodeCache in Jinja2 before 2.7.2 does not properly create temporary files, which allows local users to gain privileges via a crafted .cache file with a name starting with __jinja2_ in /tmp.

Опубликовано: 2014-05-19Изменено: 2026-06-16
CVSS 2.0СРЕДНЯЯ 4.4
CVSS:2.0/AV:L/AC:M/Au:N/C:P/I:P/A:P
Ссылки
CVE-2019-10906
HIGH8.6

In Pallets Jinja before 2.10.1, str.format_map allows a sandbox escape.

Опубликовано: 2019-04-06Изменено: 2026-06-16
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Ссылки
CVE-2019-8341
CRITICAL9.8

An issue was discovered in Jinja2 2.10. The from_string function is prone to Server Side Template Injection (SSTI) where it takes the "source" parameter as a template object, renders it, and then returns it. The attacker can exploit it with {{INJECTION COMMANDS}} in a URI. NOTE: The maintainer and multiple third parties believe that this vulnerability isn't valid because users shouldn't use untrusted templates without sandboxing

Опубликовано: 2019-02-15Изменено: 2026-06-16
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H