正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

Server-Side Template Injection

Description

The application is vulnerable to Server-Side Template Injection (SSTI), which enables attackers to manipulate templates on the server side. This vulnerability arises when untrusted user input is directly used in server-side templates without adequate sanitization. Attackers can exploit this weakness to inject and execute arbitrary code in templates, potentially compromising the system’s integrity and confidentiality.

Remediation

User-controlled data should always have special elements neutralized when used as part of constructing Expression Language statements. Consult the documentation for the template system in use on how properly neutralize user-controlled data.

Details

IDAggregatedCWETypeRisk
1336.1false1336Activehigh