Vulnerabilidad en io.pebbletemplates:pebble (CVE-2025-1686)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/02/2025
Última modificación:
27/02/2025
Descripción
Todas las versiones del paquete io.pebbletemplates:pebble son vulnerables al control externo del nombre o la ruta de archivo a través de la etiqueta include. Un atacante con privilegios elevados puede acceder a archivos locales confidenciales mediante la manipulación de plantillas de notificación maliciosas que aprovechen esta etiqueta para incluir archivos como /etc/passwd o /proc/1/environ. Solución alternativa Esta vulnerabilidad se puede mitigar deshabilitando la macro include en las plantillas Pebble: java new PebbleEngine.Builder() .registerExtensionCustomizer(new DisallowExtensionCustomizerBuilder() .disallowedTokenParserTags(List.of("include")) .build()) .build();
Impacto
Puntuación base 4.0
6.10
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA