漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Kimai (Authenticated) SSTI to RCE by Uploading a Malicious Twig File
Vulnerability Description
Kimai is a web-based multi-user time-tracking application. Versions prior to 2.1.0 are vulnerable to a Server-Side Template Injection (SSTI) which can be escalated to Remote Code Execution (RCE). The vulnerability arises when a malicious user uploads a specially crafted Twig file, exploiting the software's PDF and HTML rendering functionalities. Version 2.1.0 enables security measures for custom Twig templates.
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Vulnerability Type
CWE-1336
Vulnerability Title
Kimai 安全漏洞
Vulnerability Description
kimai是kimai个人开发者的一个基于网络的多用户时间跟踪应用程序。 Kimai 2.1.0 及之前版本存在安全漏洞,该漏洞源于容易受到服务器端模板注入 (SSTI) 攻击,该注入可升级为远程代码执行 (RCE),当恶意用户上传特制的 Twig 文件并利用该软件的 PDF 和 HTML 渲染功能时,就会出现该漏洞。
CVSS Information
N/A
Vulnerability Type
N/A