- شناسه CVE-2025-3841 :CVE
- CWE-1336/CWE-791 :CWE
- no :Advisory
- منتشر شده: آوریل 21, 2025
- به روز شده: آوریل 21, 2025
- امتیاز: 3.3
- نوع حمله: Server Side Template Injection
- اثر گذاری: neutralization of special elements
- حوزه: برنامه نویسی
- برند: wix-incubator
- محصول: jam
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری CVE-2025-3841 مربوط به پروژهی wix-incubator jam است که تا نسخهی commit با شناسهی e87a6fd85cf8fb5ff37b62b2d68f917219d07ae9 تحت تأثیر قرار دارد. این آسیبپذیری در فایل jam.py و در بخش مدیریت قالبهای Jinja2 رخ میدهد. مشکل از آنجا ناشی میشود که مقداردهی به آرگومان config[‘template’] بهدرستی خنثیسازی نمیشود که میتواند منجر به سوءاستفاده از عناصر خاص شود.
توضیحات
یک آسیبپذیری بحرانی در wix-incubator jam تا e87a6fd85cf8fb5ff37b62b2d68f917219d07ae9 یافت شد. این بر برخی از عملکردهای ناشناخته فایل jam.py از مؤلفه Jinja2 Template Handler تأثیر می گذارد. دستکاری آرگومان config[‘template’] با ورودی ناشناخته، منجر به خنثی سازی نادرست عناصر ویژه مورد استفاده می شود. این آسیب پذیری بر یکپارچگی تأثیر می گذارد.
این آسیب پذیری منحصراً با نام CVE-2025-3841 شناخته می شود. گفته می شود که exploit آن آسان است. همچنین هیچ اطلاعاتی در مورد اقدامات متقابل احتمالی شناخته شده، نیست.
CVSS
| Score | Severity | Version | Vector String | ||
| 4.8 | MEDIUM | 4.0 | CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N | ||
| 3.3 | LOW | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | ||
| 3.3 | LOW | 3.0 | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | ||
| 1.7 | — | 2.0 | AV:L/AC:L/Au:S/C:N/I:P/A:N | ||
لیست محصولات آسیبپذیر
| version | product |
| affected at e87a6fd85cf8fb5ff37b62b2d68f917219d07ae9 | jam |
منابع
