LaRecipe is vulnerable to Server-Side Template Injection attacks

LaRecipe anterior a la versión 2.8.1 permite que atacantes inyecten código malicioso que se ejecuta en el servidor, pudiendo ejecutar comandos arbitrarios y robar datos sensibles. Esta es una falla crítica porque otorga a los atacantes control casi total del servidor afectado.

La inyección de plantillas del lado del servidor (SSTI) en LaRecipe <2.8.1 permite que los atacantes inyecten sintaxis de plantilla Blade maliciosa en campos de entrada controlados por el usuario, resultando en ejecución arbitraria de código en el servidor. La vulnerabilidad surge de la falta de sanitización adecuada de entrada antes de la representación de la plantilla, permitiendo acceso a variables de entorno sensibles y comandos del sistema según la configuración del servidor.