CVE-2026-41901 in Thymeleafinformación

Resumen

por VulDB • 2026-05-13

Thymeleaf es un motor de plantillas Java del lado del servidor para entornos web y autónomos. Antes de la versión 3.1.5.RELEASE, existía una vulnerabilidad de elusión de seguridad en los mecanismos de ejecución de expresiones de Thymeleaf. Aunque la biblioteca proporciona mecanismos para evitar la ejecución de expresiones potencialmente peligrosas en algunos contextos específicos aislados (restringidos), no logra neutralizar adecuadamente ciertas construcciones que permiten la ejecución de este tipo de expresiones. Si un desarrollador de aplicaciones pasa variables sin sanitizar al motor de plantillas que contienen dichas expresiones, y estos valores se utilizan en contextos aislados dentro de las plantillas, estas expresiones pueden ejecutarse, logrando una Inyección de Plantillas del Lado del Servidor (SSTI). Esta vulnerabilidad se corrige en la versión 3.1.5.RELEASE.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-22

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363451

CPE

listo

EPSS

0.00104

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41901
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41901
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41901/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!