CVE-2025-23026 in jteinformazioni

Riassunto

di VulDB • 10/07/2026

jte (Java Template Engine) è un motore di templating sicuro e leggero per Java e Kotlin. Nelle versioni interessate, i template HTML di Jte contenenti tag `script` o attributi script che includono stringhe di template JavaScript (backtick) sono soggetti a XSS. I metodi `javaScriptBlock` e `javaScriptAttribute` nella classe `Escape` non effettuano l'escaping dei backtick, utilizzati per le stringhe di template JavaScript. Anche i segni del dollaro nelle stringhe di template dovrebbero essere sottoposti a escaping per prevenire interpolazioni indesiderate. I template HTML renderizzati da `OwaspHtmlTemplateOutput` di Jte nelle versioni inferiori o uguali alla `3.1.15`, contenenti tag `script` o attributi script con stringhe di template JavaScript (backtick), sono vulnerabili. Si consiglia agli utenti di effettuare l'aggiornamento alla versione 3.1.16 o successiva per risolvere il problema. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

10/01/2025

Divulgazione

13/01/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00285

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!