Обнаружена ошибка в 1024-lab/lab1024 SmartAdmin до версии 3.29. Этой проблеме подвержена функция freemarkerResolverContent файла sa-base/src/main/java/net/lab1024/sa/base/module/support/mail/MailService.java компонента обработчика шаблонов FreeMarker. Выполнение манипуляций с аргументом template_content может привести к неправильной нейтрализации специальных элементов, используемых в шаблонизаторе.
Атака может быть запущена удаленно. Эксплойт опубликован и может быть использован. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A flaw has been found in 1024-lab/lab1024 SmartAdmin up to 3.29. Affected by this issue is the function freemarkerResolverContent of the file sa-base/src/main/java/net/lab1024/sa/base/module/support/mail/MailService.java of the component FreeMarker Template Handler. Executing a manipulation of the argument template_content can lead to improper neutralization of special elements used in a template engine. The attack can be launched remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0