Vulnerabilidad en Dependency-Track (CVE-2025-27137)

Dependency-Track es una plataforma de análisis de componentes que permite a las organizaciones identificar y reducir el riesgo en la cadena de suministro de software. Dependency-Track permite a los usuarios con el permiso `SYSTEM_CONFIGURATION` personalizar las plantillas de notificación. Las plantillas se evalúan utilizando el motor de plantillas Pebble. Pebble admite una etiqueta `include`, que permite a los autores de plantillas incluir el contenido de archivos arbitrarios en la evaluación. Antes de la versión 4.12.6, los usuarios de Dependency-Track con el permiso `SYSTEM_CONFIGURATION` podían abusar de la etiqueta `include` creando plantillas de notificación que `incluyen` archivos locales confidenciales, como `/etc/passwd` o `/proc/1/environ`. Al configurar una plantilla de este tipo para una regla de notificación (también conocida como "Alerta") y hacer que envíe notificaciones a un destino controlado por el actor, se puede filtrar información confidencial. El problema se ha solucionado en Dependency-Track 4.12.6. En las versiones corregidas, la etiqueta `include` ya no se puede utilizar. El uso de la etiqueta provocará un error en la evaluación de la plantilla. Como workaround, evite asignar el permiso `SYSTEM_CONFIGURATION` a usuarios que no sean de confianza. El permiso `SYSTEM_CONFIGURATION` de forma predeterminada solo se otorga a los miembros del equipo `Administradores`. Asignar este permiso a usuarios o equipos que no sean administradores es un riesgo de seguridad en sí mismo y se desaconseja enfáticamente.