Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la API de renderizado Express en Squirrelly (CVE-2021-32819)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
14/05/2021
Última modificación:
22/05/2023

Descripción

Squirrelly es un motor de plantillas implementado en JavaScript que funciona de inmediato con ExpressJS. Squirrelly mezcla datos de plantilla puros con opciones de configuración del motor mediante la API de renderizado Express. Al sobrescribir las opciones de configuración internas, puede ser desencadenada una ejecución de código remota en aplicaciones posteriores. Actualmente no presenta una solución para estos problemas a partir de la publicación de este CVE. La última versión de squirrelly es actualmente la versión 8.0.8. Para obtener detalles completos, consulte la referencia GHSL-2021-023

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:squirrelly:squirrelly:8.0.8:*:*:*:*:*:*:*