CVE-2026-40477 in thymeleaf
要約
〜によって VulDB • 2026年05月25日
Thymeleafは、Webおよびスタンドアロン環境向けのサーバーサイドJavaテンプレートエンジンです。バージョン3.1.3.RELEASEおよびそれ以前のバージョンには、式実行メカニズムにおけるセキュリティ回避の脆弱性が存在します。このライブラリは式インジェクションを防止するメカニズムを提供していますが、アクセス可能なオブジェクトの範囲を適切に制限できないため、テンプレート内から特定の機密性の高い可能性のあるオブジェクトに到達することが可能です。アプリケーション開発者が検証されていないユーザー入力をテンプレートエンジンに直接渡した場合、認証されていないリモート攻撃者はライブラリの保護を回避し、サーバーサイドテンプレートインジェクション(SSTI)を実現できます。この問題はバージョン3.1.4.RELEASEで修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.