dynaconf — это инструмент управления конфигурацией Python. До версии 3.2.13 Dynaconf уязвим для внедрения шаблонов на стороне сервера (SSTI) из-за небезопасной оценки шаблона в преобразователе @Jinja. Когда пакет jinja2 установлен, Dynaconf оценивает выражения шаблона, встроенные в значения конфигурации, без изолированной среды.
Эта проблема исправлена в версии 3.2.13.
Показать оригинальное описание (EN)
dynaconf is a configuration management tool for Python. Prior to version 3.2.13, Dynaconf is vulnerable to Server-Side Template Injection (SSTI) due to unsafe template evaluation in the @Jinja resolver. When the jinja2 package is installed, Dynaconf evaluates template expressions embedded in configuration values without a sandboxed environment. This issue has been patched in version 3.2.13.
Характеристики атаки
Последствия
Строка CVSS v3.1