CVE-2026-0685
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 49 — wyżej niż 49% wszystkich znanych CVE
Streszczenie
Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.
Ocena ryzyka
Atakujący może zdalnie wykonać dowolny kod na serwerze, co prowadzi do pełnej kompromitacji systemu, kradzieży danych lub przejęcia kontroli nad aplikacją.
Rekomendacja
Należy natychmiast zaktualizować silnik szablonów Genshi do najnowszej dostępnej wersji, która usuwa tę podatność, oraz unikać używania niezaufanych danych wejściowych w wyrażeniach szablonów.
Oryginalny opis (angielski, źródło NVD)
Server side template inject (SSTI) in the expression evaluation component in Genshi Template Engine version 0.7.9 allows a remote attacker to achieve remote code execution (RCE) via crafted template expressions.

