Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00112

Опубликовано: 16 янв. 2023
Источник: fstec
CVSS3: 7.3
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость компилятора инструмента для html-шаблонизации jinja связана с неприятием мер по нейтрализации специальных управляющих элементов при обработке f-строк. Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Astra Linux Special Edition
jinja

Версия ПО

7.3 (РЕД ОС)
1.8 (Astra Linux Special Edition)
от 3.0 до 3.1.5 (jinja)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/pallets/jinja/commit/767b23617628419ae3709ccfb02f9602ae9fe51f
https://github.com/pallets/jinja/releases/tag/3.1.5
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-jinja2-cve-2024-34064-cve-2024-56326-cve-2024-56201/?sphrase_id=643822
Для ОС Astra Linux:
обновить пакет jinja2 до 3.1.2-1ubuntu1.1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00064
Низкий

7.3 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250121-09

CVSS3: 7.3
redos
5 месяцев назад

Множественные уязвимости python3-jinja2

ubuntu логотип

CVE-2024-56201

ubuntu
6 месяцев назад

Jinja is an extensible templating engine. In versions on the 3.x branch prior to 3.1.5, a bug in the Jinja compiler allows an attacker that controls both the content and filename of a template to execute arbitrary Python code, regardless of if Jinja's sandbox is used. To exploit the vulnerability, an attacker needs to control both the filename and the contents of a template. Whether that is the case depends on the type of application using Jinja. This vulnerability impacts users of applications which execute untrusted templates where the template author can also choose the template filename. This vulnerability is fixed in 3.1.5.

redhat логотип

CVE-2024-56201

CVSS3: 7.3
redhat
6 месяцев назад

Jinja is an extensible templating engine. In versions on the 3.x branch prior to 3.1.5, a bug in the Jinja compiler allows an attacker that controls both the content and filename of a template to execute arbitrary Python code, regardless of if Jinja's sandbox is used. To exploit the vulnerability, an attacker needs to control both the filename and the contents of a template. Whether that is the case depends on the type of application using Jinja. This vulnerability impacts users of applications which execute untrusted templates where the template author can also choose the template filename. This vulnerability is fixed in 3.1.5.

nvd логотип

CVE-2024-56201

nvd
6 месяцев назад

Jinja is an extensible templating engine. In versions on the 3.x branch prior to 3.1.5, a bug in the Jinja compiler allows an attacker that controls both the content and filename of a template to execute arbitrary Python code, regardless of if Jinja's sandbox is used. To exploit the vulnerability, an attacker needs to control both the filename and the contents of a template. Whether that is the case depends on the type of application using Jinja. This vulnerability impacts users of applications which execute untrusted templates where the template author can also choose the template filename. This vulnerability is fixed in 3.1.5.

msrc логотип

CVE-2024-56201

CVSS3: 8.8
msrc
5 месяцев назад

Описание отсутствует

EPSS

Процентиль: 20%
0.00064
Низкий

7.3 High

CVSS3

6.8 Medium

CVSS2

Уязвимость BDU:2025-00112