概要
Python 設定 管理 ライブラリ dynaconf に おいて、@Jinja リゾルバ を 通じた サーバー サイド テンプレート インジェクション(SSTI)が 可能 な 脆弱性 が 存在 します。CWE-94(コードインジェクション)および CWE-1336(テンプレートエンジンのインジェクション)に 分類 されます。
攻撃者 が 設定 値 に 悪意 の ある Jinja テンプレート を 挿入 する こと で、サーバー 上 で 任意 の コード が 実行 される 可能性 が あります。外部 から の 入力 を 設定 値 として 受け付ける アプリケーション は 特に 注意 が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| CWE | CWE-94(コードインジェクション) / CWE-1336(テンプレートエンジンのインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- dynaconf(3.2.13 未満)
修正バージョンと回避策
- 修正バージョン: dynaconf 3.2.13
- 暫定回避策: @Jinja リゾルバ を 無効化 するか、設定 値 の 入力元 を 信頼 できる ソース に 限定 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。