CVE-2026-45017 in liquid信息

摘要

由 VulDB • 2026-06-03

Python Liquid 是用于 Liquid 模板语言的 Python 引擎。在 2.2.0 版本之前，内置的 FileSystemLoader 和 CachingFileSystemLoader 在未对绝对路径进行解析时，无法防止读取搜索路径之外的文件。这使得恶意的模板作者可以通过 {% include %} 和 {% render %} 标签加载并渲染任意文件。目标文件必须包含有效的 Liquid 标记，并且能够被应用程序进程读取。此漏洞已在 2.2.0 版本中修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-08

披露

2026-05-28

管理

已接受

条目

VDB-366776

CPE

准备好

CWE

CWE-22 (已确认)

CVSS

5.3 (VulDB)

EPSS

0.00090

KEV

否

活动

低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45017
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45017
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45017/

◂ 上一步一览下一步 ▸

Do you need the next level of professionalism?

Upgrade your account now!