Описание
Множественные уязвимости python3-jinja2
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета python3-jinja2 или Установить обновление для пакета(ов) python3-jinja2
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
21.01.2025
CVE-2024-34064
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость метода str.format() инструмента для html-шаблонизации jinja связана с недостаточной очисткой данных, предоставленных пользователем, в фильтре "xmlattr". Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнять атаки с использованием межсайтового скриптинга (XSS)
5.4 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2024-56326
Идентификатор БДУ ФСТЭК России:
BDU:2025-00113Описание уязвимости:
Уязвимость метода str.format() инструмента для html-шаблонизации jinja связана с неприятием мер по нейтрализации специальных элементов в механизме создания шаблонов. Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании
7.3 High
CVSS3
6.8 Medium
CVSS2
CVE-2024-56201
Идентификатор БДУ ФСТЭК России:
BDU:2025-00112Описание уязвимости:
Уязвимость компилятора инструмента для html-шаблонизации jinja связана с неприятием мер по нейтрализации специальных управляющих элементов при обработке f-строк. Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании
7.3 High
CVSS3
6.8 Medium
CVSS2