Jinja: Внедрение команды в функцию from_string (SSTI)

Созданный на 18 февр. 2019 · 1Комментарий · Источник: pallets/jinja

Ожидаемое поведение

from_string принимает параметры, которые не экранируются, поэтому злоумышленник может ввести код в шаблон.

Фактическое поведение

Должно ускользнуть от всего, что прошло.

Дополнительная информация и подтверждение концепции

https://github.com/JameelNabbo/Jinja2-Code-execution
https://www.exploit-db.com/exploits/46386

Источник

mostafa

Самый полезный комментарий

Пользователь, который создал это репо и CVE, не знает, о чем они говорят, и, к сожалению, теперь нам придется продолжать заниматься этим, поскольку они безответственно уведомили группу людей о несущественной проблеме официальным образом. . См. Https://github.com/JameelNabbo/Jinja2-Code-execution/issues/1 для ответа на них. Я отправил в MITER запрос на аннулирование CVE.

Сказать, что у Джины есть уязвимость, потому что существует from_string - все равно что сказать, что каждый динамический язык уязвим, потому что существует eval , или каждая библиотека SQL уязвима, потому что они оценивают строки SQL. Проблема не в тех библиотеках, которые предоставляют надлежащие инструменты для обработки пользовательского ввода. В библиотеке SQL нет уязвимости, связанной с инъекцией, в отличие от проекта, использующего библиотеку SQL неправильно.

SandboxedEnvironment следует использовать, если вы все еще хотите рискнуть компилировать ненадежные шаблоны, а autoescape следует использовать при рендеринге ненадежных переменных.