サーバーサイドテンプレートインジェクション(SSTI)は、SSHキーなどの重要なファイルを削除するために悪用される可能性があります。
この脆弱性は、ユーザー入力がサーバーテンプレートに安全でない形で埋め込まれた場合に発生します。
この入力は、無害なデータとして扱われる代わりに、基盤となるテンプレートエンジンのコンパイラによって実行可能コードに変換され、テンプレート自体の脆弱なバージョンが作成されます。
この脆弱性は、システムリソースの損失やセキュリティ基準の侵害につながる可能性があり、機密データがHTMLで読み書きできなくなるなど、セキュリティ基準の侵害につながる可能性があります。
コメント