home.social

#ssti — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #ssti, aggregated by home.social.

  1. 🚨 CRITICAL: CVE-2026-45714 in CubeCart < 6.7.0 enables authenticated admins to execute OS commands via SSTI (Smarty engine) — full RCE risk. Patch to 6.7.0+ ASAP! radar.offseq.com/threat/cve-20 #OffSeq #CubeCart #SSTI #RCE #Vuln

  2. 🚨 CRITICAL: CVE-2026-45714 in CubeCart < 6.7.0 enables authenticated admins to execute OS commands via SSTI (Smarty engine) — full RCE risk. Patch to 6.7.0+ ASAP! radar.offseq.com/threat/cve-20 #OffSeq #CubeCart #SSTI #RCE #Vuln

  3. 🚨 CRITICAL: CVE-2026-45714 in CubeCart < 6.7.0 enables authenticated admins to execute OS commands via SSTI (Smarty engine) — full RCE risk. Patch to 6.7.0+ ASAP! radar.offseq.com/threat/cve-20 #OffSeq #CubeCart #SSTI #RCE #Vuln

  4. 🚨 CRITICAL: CVE-2026-45714 in CubeCart < 6.7.0 enables authenticated admins to execute OS commands via SSTI (Smarty engine) — full RCE risk. Patch to 6.7.0+ ASAP! radar.offseq.com/threat/cve-20 #OffSeq #CubeCart #SSTI #RCE #Vuln

  5. Получение несанкционированного выполнения кода (RCE) в XWiki: разбор CVE-2024-31982 и автоматизация эксплуатации

    Привет! Меня зовут Артур, я специалист по пентестам в компании Xilant. В этой статье разберём одну из наиболее опасных уязвимостей, обнаруженных в XWiki — CVE-2024-31982 , которая позволяет добиться удалённого выполнения произвольного кода (RCE) через, казалось бы, безобидную функциональность поиска. XWiki давно занимает ключевое место среди корпоративных Wiki-платформ благодаря гибкой архитектуре и мощной системе шаблонов. Однако именно эта гибкость сыграла против неё: некорректная обработка пользовательского ввода в механизме рендеринга шаблонов привела к появлению критической SSTI-уязвимости. В материале я покажу, как устроена брешь, как она эксплуатируется и как выглядит автоматизированный PoC, который я написал на основе анализа опубликованного исследования автора jacaba с портала Vicarius.io .

    habr.com/ru/companies/technokr

    #инфобез #кибербез #xwiki #уязвимость #ssti #rce #информационная_безопасность

  6. BeyondTrust's platforms are under fire—a new flaw (CVE-2025-5309) lets attackers run code remotely without any credentials. Are your systems patched up? Discover what you need to know.

    thedefendopsdiaries.com/beyond

    #beyondtrust
    #cve20255309
    #cybersecurity
    #ssti
    #remotecodeexecution

  7. BeyondTrust's platforms are under fire—a new flaw (CVE-2025-5309) lets attackers run code remotely without any credentials. Are your systems patched up? Discover what you need to know.

    thedefendopsdiaries.com/beyond

    #beyondtrust
    #cve20255309
    #cybersecurity
    #ssti
    #remotecodeexecution

  8. BeyondTrust's platforms are under fire—a new flaw (CVE-2025-5309) lets attackers run code remotely without any credentials. Are your systems patched up? Discover what you need to know.

    thedefendopsdiaries.com/beyond

    #beyondtrust
    #cve20255309
    #cybersecurity
    #ssti
    #remotecodeexecution

  9. BeyondTrust's platforms are under fire—a new flaw (CVE-2025-5309) lets attackers run code remotely without any credentials. Are your systems patched up? Discover what you need to know.

    thedefendopsdiaries.com/beyond

    #beyondtrust
    #cve20255309
    #cybersecurity
    #ssti
    #remotecodeexecution

  10. SSTI в Python под микроскопом: разбираем Python-шаблонизаторы

    В статье разберем, какой импакт атакующие могут получить, используя SSTI (server-side template injection) в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Отметим, что это не новый ресерч с rocket-science-векторами, а анализ работы уже известных PoC и разбор улучшений части из них, которая может быть полезна при тестировании. Приятного прочтения! Читать

    habr.com/ru/companies/bizone/a

    #ssti #вебуязвимости #пентест #багбаунти #шаблонизатор #jinja2 #django_templates

  11. SSTI в Python под микроскопом: разбираем Python-шаблонизаторы

    В статье разберем, какой импакт атакующие могут получить, используя SSTI (server-side template injection) в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Отметим, что это не новый ресерч с rocket-science-векторами, а анализ работы уже известных PoC и разбор улучшений части из них, которая может быть полезна при тестировании. Приятного прочтения! Читать

    habr.com/ru/companies/bizone/a

    #ssti #вебуязвимости #пентест #багбаунти #шаблонизатор #jinja2 #django_templates

  12. 7 главных типов веб-уязвимостей, о которых должен знать каждый бэкендер

    Привет, Хабр! На связи Виталий Киреев, руководитель R&D SpaceWeb. Это первая часть статьи про веб-безопасность — здесь я расскажу про главные уязвимости Server Side, покажу примеры и объясню, как защищать данные.

    habr.com/ru/companies/spaceweb

    #вебуязвимости #бэкенд_уязвимости #rce #lfi/rfi #ssti #ssrf #idor #PHP_Object_Injection #защита_пользовательских_данных

  13. 7 главных типов веб-уязвимостей, о которых должен знать каждый бэкендер

    Привет, Хабр! На связи Виталий Киреев, руководитель R&D SpaceWeb. Это первая часть статьи про веб-безопасность — здесь я расскажу про главные уязвимости Server Side, покажу примеры и объясню, как защищать данные.

    habr.com/ru/companies/spaceweb

    #вебуязвимости #бэкенд_уязвимости #rce #lfi/rfi #ssti #ssrf #idor #PHP_Object_Injection #защита_пользовательских_данных

  14. 7 главных типов веб-уязвимостей, о которых должен знать каждый бэкендер

    Привет, Хабр! На связи Виталий Киреев, руководитель R&D SpaceWeb. Это первая часть статьи про веб-безопасность — здесь я расскажу про главные уязвимости Server Side, покажу примеры и объясню, как защищать данные.

    habr.com/ru/companies/spaceweb

    #вебуязвимости #бэкенд_уязвимости #rce #lfi/rfi #ssti #ssrf #idor #PHP_Object_Injection #защита_пользовательских_данных

  15. Эксплуатируем уязвимость внедрения шаблонов на стороне сервера в обход песочницы

    Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Сегодня речь пойдет о том, как можно использовать уязвимость внедрения шаблонов на стороне сервера (SSTI), когда сервер жертвы находится в изолированной среде (песочнице), при которой можно добиться удаленного выполнения кода (RCE). Всем приятного прочтения!

    habr.com/ru/articles/788446/

    #web #web_pentest #ssti

  16. ronin-vulns 0.1.3 has been released! Contains minor bug fixes and improved detection of reflected XSS after/within HTML comments.
    ronin-rb.dev/blog/2023/07/07/r
    #ronin #ruby #infosec #security #sqli #ssti #xss

  17. Working on a guide for automating the discovery of web vulnerabilities.

    Focusing on idor, ssti, ssrf etc for now. Suggestions welcomed!

    #webapp #owasp #idor #ssti #ssrf #sqlinjection #xss