CRITICAL🇬🇧 English

CVE-2025-64087

SSTI w FreeMarker (XDocReport) umożliwia zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2026-01-20upd. 2026-02-03

Podatność typu Server-Side Template Injection (SSTI) w komponencie FreeMarker biblioteki opensagres XDocReport (wersje 1.0.0–2.1.0) pozwala atakującemu na zdalne wykonanie dowolnego kodu. Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku, zagrożenie jest krytyczne.

Pokaż oryginał (EN)

A Server-Side Template Injection (SSTI) vulnerability in the FreeMarker component of opensagres XDocReport v1.0.0 to v2.1.0 allows attackers to execute arbitrary code via injecting crafted template expressions.

🤖 Analiza AI
Jak działa

Atakujący wstrzykuje spreparowane wyrażenia szablonowe (crafted template expressions) do silnika FreeMarker obsługiwanego przez XDocReport. Biblioteka przetwarza dostarczone dane jako kod szablonu zamiast traktować je jako zwykły tekst, co prowadzi do interpretacji i wykonania wbudowanych poleceń po stronie serwera. Atak nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, a złożoność jego przeprowadzenia jest niska.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu zdalne wykonanie dowolnego kodu (RCE) na serwerze, co może prowadzić do pełnego przejęcia systemu, wycieku poufnych danych oraz naruszenia integralności i dostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — dostępny jest pull request nr 705 w repozytorium GitHub opensagres/xdocreport. Zaleca się pilną aktualizację do wersji zawierającej poprawkę oraz ograniczenie możliwości dostarczania zewnętrznych danych wejściowych do mechanizmów przetwarzania szablonów.

Kogo dotyczy

opensagres XDocReport w wersjach od 1.0.0 do 2.1.0 (komponent FreeMarker)

Uwagi

Dostępny jest publiczny kod proof-of-concept pod adresem https://github.com/AT190510-Cuong/CVE-2025-64087-SSTI- oraz szczegółowy opis techniczny na hackmd.io. Pomimo krytycznego wyniku CVSS 9.8, podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Opensagres Xdocreport

    APP
    Opensagres
    1.0.0 – 2.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-65482CRITICAL9.8PL ✓ten sam produkt

XXE/RCE w opensagres XDocReport — złośliwy plik .docx