一、 漏洞 CVE-2024-45053 基础信息
漏洞标题
通过SSTI在Fides Webserver Jinja邮件模板引擎中的远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Fides是一个开源隐私工程平台。从2.19.0版本到2.44.0版本,在Email模板功能中,Jinja2没有进行适当的输入清理或渲染环境限制,允许服务器端模板注入,从而授予具有高级权限的用户远程代码执行权限。高级用户是指具有默认“所有者”或“贡献者”角色的Admin UI用户,他们可以提升权限并在Jinja模板渲染功能执行的底层Fides Webserver容器中执行代码。此漏洞已经在Fides版本`2.44.0`中进行了修复。建议用户升级至此版本或更高版本,以保护其系统免受此威胁。不存在任何工作规避方案。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
Remote Code Execution Vulnerability via SSTI in Fides Webserver Jinja Email Templating Engine
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Fides is an open-source privacy engineering platform. Starting in version 2.19.0 and prior to version 2.44.0, the Email Templating feature uses Jinja2 without proper input sanitization or rendering environment restrictions, allowing for Server-Side Template Injection that grants Remote Code Execution to privileged users. A privileged user refers to an Admin UI user with the default `Owner` or `Contributor` role, who can escalate their access and execute code on the underlying Fides Webserver container where the Jinja template rendering function is executed. The vulnerability has been patched in Fides version `2.44.0`. Users are advised to upgrade to this version or later to secure their systems against this threat. There are no workarounds.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Ethyca Fides 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Ethyca Fides是Ethyca公司的一个开源隐私工程平台,用于管理运行时环境中数据隐私请求的实现以及代码中隐私法规的执行。 Ethyca Fides 2.19.0版本至2.44.0之前版本存在安全漏洞,该漏洞源于没有适当的输入清理或渲染环境限制,从而允许服务器端模板注入。攻击者利用该漏洞可以远程执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45053 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-45053 的情报信息