漏洞标题
N/A
漏洞描述信息
在3.5之前,ThingsBoard允许服务器端模板注入,如果允许用户修改电子邮件模板,因为Apache FreeMarker支持FreeMarker.template.utility.Execute(对于发送到/api/admin/settings端的内容)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
N/A
漏洞描述信息
ThingsBoard before 3.5 allows Server-Side Template Injection if users are allowed to modify an email template, because Apache FreeMarker supports freemarker.template.utility.Execute (for content sent to the /api/admin/settings endpoint).
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
ThingsBoard 注入漏洞
漏洞描述信息
Thingsboard是Thingsboard团队的一个基于Java用于IOT设备进行监控、管理、数据收集的平台。 ThingsBoard 3.5之前版本存在安全漏洞,该漏洞源于存在服务器端模板注入漏洞。
CVSS信息
N/A
漏洞类别
注入