CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2022-37767
https://notcve.org/view.php?id=CVE-2022-37767
Pebble Templates 3.1.5 allows attackers to bypass a protection mechanism and implement arbitrary code execution with springbok. NOTE: the vendor disputes this because input to the Pebble templating engine is intended to include arbitrary Java code, and thus either the input should not arrive from an untrusted source, or else the application using the engine should apply restrictions to the input. The engine is not responsible for validating the input. ** EN DISPUTA ** Pebble Templates versión 3.1.5, permite a atacantes omitir un mecanismo de protección e implementar una ejecución de código arbitrario con springbok. NOTA: el proveedor discute esto porque la entrada al motor de plantillas de Pebble está pensada para incluir código Java arbitrario, y por lo tanto, o bien la entrada no debería llegar de una fuente no fiable, o bien la aplicación que utiliza el motor debería aplicar restricciones a la entrada. El motor no es responsable de validar la entrada • https://github.com/PebbleTemplates/pebble/issues/625#issuecomment-1282138635 https://github.com/Y4tacker/Web-Security/issues/3 • CWE-863: Incorrect Authorization •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-19899
https://notcve.org/view.php?id=CVE-2019-19899
Pebble Templates 3.1.2 allows attackers to bypass a protection mechanism (intended to block access to instances of java.lang.Class) because getClass is accessible via the public static java.lang.Class java.lang.Class.forName(java.lang.Module,java.lang.String) signature. Pebble Templates versión 3.1.2, permite a atacantes omitir un mecanismo de protección (destinado a bloquear el acceso a instancias de java.lang.Class) porque getClass es accesible por medio de la firma pública estática java.lang.Class.forName (java.lang.Module, java.lang.String) de java.lang.Class. • https://github.com/PebbleTemplates/pebble/issues/493 • CWE-862: Missing Authorization •