Server Side Template Injection in Jinja2 allows Remote Command Execution

changedetection.io posee una vulnerabilidad crítica que permite a atacantes inyectar código malicioso en plantillas Jinja2, posibilitando ejecutar cualquier comando en el servidor. Esto significa que alguien podría asumir el control total del sistema completo sin necesidad de contraseña.

Una inyección de plantilla del lado del servidor (SSTI) en procesamiento de plantillas Jinja2 permite ejecución remota de código (RCE) no autenticada en el sistema anfitrión. Los atacantes explotan entrada de usuario no sanitizada reflejada en contextos de renderización de plantillas para escapar del sandbox y ejecutar comandos del sistema arbitrarios con privilegios del servidor, resultando en comprometimiento total del sistema.