CVE-2022-37767
https://notcve.org/view.php?id=CVE-2022-37767
Pebble Templates 3.1.5 allows attackers to bypass a protection mechanism and implement arbitrary code execution with springbok. NOTE: the vendor disputes this because input to the Pebble templating engine is intended to include arbitrary Java code, and thus either the input should not arrive from an untrusted source, or else the application using the engine should apply restrictions to the input. The engine is not responsible for validating the input. ** EN DISPUTA ** Pebble Templates versión 3.1.5, permite a atacantes omitir un mecanismo de protección e implementar una ejecución de código arbitrario con springbok. NOTA: el proveedor discute esto porque la entrada al motor de plantillas de Pebble está pensada para incluir código Java arbitrario, y por lo tanto, o bien la entrada no debería llegar de una fuente no fiable, o bien la aplicación que utiliza el motor debería aplicar restricciones a la entrada. El motor no es responsable de validar la entrada • https://github.com/PebbleTemplates/pebble/issues/625#issuecomment-1282138635 https://github.com/Y4tacker/Web-Security/issues/3 • CWE-863: Incorrect Authorization •