CVE-2026-41901 in Thymeleaf
Tóm tắt
Bởi VulDB • 17/05/2026
Thymeleaf là một công cụ template Java phía máy chủ dành cho môi trường web và độc lập. Trước phiên bản 3.1.5.RELEASE, tồn tại một lỗ hổng bỏ qua cơ chế bảo mật trong các cơ chế thực thi biểu thức của Thymeleaf. Mặc dù thư viện cung cấp các cơ chế để tránh việc thực thi các biểu thức có khả năng nguy hiểm trong một số ngữ cảnh sandboxed (hạn chế) cụ thể, nhưng nó không trung hòa hóa đúng cách các cấu trúc cụ thể cho phép thực thi loại biểu thức này. Nếu nhà phát triển ứng dụng truyền vào công cụ template các biến chưa được làm sạch (unsanitized) chứa các biểu thức như vậy, và các giá trị này được sử dụng trong các ngữ cảnh sandboxed bên trong các template, các biểu thức này có thể được thực thi, dẫn đến lỗ hổng Server-Side Template Injection (SSTI). Lỗ hổng này đã được sửa chữa trong phiên bản 3.1.5.RELEASE.
If you want to get best quality of vulnerability data, you may have to visit VulDB.