CVE-2026-40477 in thymeleafinformación

Resumen

por VulDB • 2026-05-10

Thymeleaf es un motor de plantillas Java del lado del servidor para entornos web y autónomos. Las versiones 3.1.3.RELEASE y anteriores contienen una vulnerabilidad de elusión de seguridad en los mecanismos de ejecución de expresiones. Aunque la biblioteca proporciona mecanismos para prevenir la inyección de expresiones, no restringe adecuadamente el alcance de los objetos accesibles, lo que permite alcanzar objetos específicos potencialmente sensibles desde dentro de una plantilla. Si un desarrollador de aplicaciones pasa entrada de usuario no validada directamente al motor de plantillas, un atacante remoto no autenticado puede eludir las protecciones de la biblioteca para lograr una Inyección de Plantillas del Lado del Servidor (SSTI). Este problema se ha corregido en la versión 3.1.4.RELEASE.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-13

Divulgación

2026-04-18

Moderación

aceptado

Artículo

VDB-358158

CPE

listo

EPSS

0.00055

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40477
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40477
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40477/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!