GHSA-6pgr-j9v4-xfvv

Опубликовано: 06 окт. 2023

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

ThingsBoard Server-Side Template Injection

ThingsBoard before 3.5 allows Server-Side Template Injection if users are allowed to modify an email template, because Apache FreeMarker supports freemarker.template.utility.Execute for content sent to the /api/admin/settings endpoint.

Ссылки

Пакеты

Наименование

org.thingsboard:thingsboard

maven

Затронутые версииВерсия исправления

< 3.5

3.5

EPSS

Процентиль: 69%

0.00594

Низкий

8.8 High

CVSS3

CVE ID

CVE-2023-45303

Дефекты

CWE-74

Связанные уязвимости

CVE-2023-45303

CVSS3: 8.4

nvd

больше 2 лет назад

ThingsBoard before 3.5 allows Server-Side Template Injection if users are allowed to modify an email template, because Apache FreeMarker supports freemarker.template.utility.Execute (for content sent to the /api/admin/settings endpoint).

EPSS

Процентиль: 69%

0.00594

Низкий

8.8 High

CVSS3

CVE ID

CVE-2023-45303

Дефекты

CWE-74