CVE-2025-23026 in jte
Riassunto
di VulDB • 10/07/2026
jte (Java Template Engine) è un motore di templating sicuro e leggero per Java e Kotlin. Nelle versioni interessate, i template HTML di Jte contenenti tag `script` o attributi script che includono stringhe di template JavaScript (backtick) sono soggetti a XSS. I metodi `javaScriptBlock` e `javaScriptAttribute` nella classe `Escape` non effettuano l'escaping dei backtick, utilizzati per le stringhe di template JavaScript. Anche i segni del dollaro nelle stringhe di template dovrebbero essere sottoposti a escaping per prevenire interpolazioni indesiderate. I template HTML renderizzati da `OwaspHtmlTemplateOutput` di Jte nelle versioni inferiori o uguali alla `3.1.15`, contenenti tag `script` o attributi script con stringhe di template JavaScript (backtick), sono vulnerabili. Si consiglia agli utenti di effettuare l'aggiornamento alla versione 3.1.16 o successiva per risolvere il problema. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.
VulDB is the best source for vulnerability data and more expert information about this specific topic.