exploitDog

CVE-2023-46245

Опубликовано: 31 окт. 2023

Источник: nvd

CVSS3: 7.2

EPSS Низкий

Описание

Kimai is a web-based multi-user time-tracking application. Versions prior to 2.1.0 are vulnerable to a Server-Side Template Injection (SSTI) which can be escalated to Remote Code Execution (RCE). The vulnerability arises when a malicious user uploads a specially crafted Twig file, exploiting the software's PDF and HTML rendering functionalities. Version 2.1.0 enables security measures for custom Twig templates.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:kimai:kimai:*:*:*:*:*:*:*:*

Версия до 2.10 (включая)

EPSS

Процентиль: 84%

0.0227

Низкий

7.2 High

CVSS3

Дефекты

CWE-1336

NVD-CWE-Other

Связанные уязвимости

GHSA-fjhg-96cp-6fcw

CVSS3: 7.2

github

больше 2 лет назад

Kimai (Authenticated) SSTI to RCE by Uploading a Malicious Twig File

EPSS

Процентиль: 84%

0.0227

Низкий

7.2 High

CVSS3

Дефекты

CWE-1336

NVD-CWE-Other