この製品は、外部から影響を受けた入力を挿入または処理するためにテンプレート・エンジンを使用しますが、エンジンによって処理されるときにテンプレート式やその他のコード指示文として解釈される可能性のある特殊な要素や構文を中和しないか、誤って中和してしまいます。
多くのWebアプリケーションでは、テンプレートエンジンを使用しており、 開発者はフリーテキストやメッセージに外部から影響を受けた値を挿入することで、 完全なWebページやドキュメント、メッセージなどを生成することができます。このようなエンジンには、Twig, Jinja2, Pug, Java Server Pages, FreeMarker, Velocity, ColdFusion, Smartyなどがあり、PHP自体も含まれます。CMS(コンテンツ管理システム)の中にもテンプレートを使うものがあります。
テンプレートエンジンは、しばしば独自のカスタムコマンドや表現言語を持っています。もし攻撃者が処理される前にテンプレートへの入力に影響を与えることができれば、 攻撃者は任意の式を呼び出す、すなわちインジェクション攻撃を行うことができます。例えば、いくつかのテンプレート言語では、攻撃者は"{{7*7}}"という式を注入し、出力が代わりに "49 "を返すかどうかを決定することができます。構文は言語によって異なります。
場合によっては、XSS スタイルの攻撃が機能することがあり、開発者がエラーの根本的な原因をよく調べないと、根本的な原因がわからなくなることがあります。
テンプレート・エンジンはサーバーでもクライアントでも使用できるため、インジェクションの影響を「側」両方で受ける可能性がある。攻撃のメカニズムや影響を受ける技術は異なるかもしれませんが、間違いは基本的に同じです。
The product uses a template engine to insert or process externally-influenced input, but it does not neutralize or incorrectly neutralizes special elements or syntax that can be interpreted as template expressions or other code directives when processed by the engine.
Many web applications use template engines that allow developers to insert externally-influenced values into free text or messages in order to generate a full web page, document, message, etc. Such engines include Twig, Jinja2, Pug, Java Server Pages, FreeMarker, Velocity, ColdFusion, Smarty, and many others - including PHP itself. Some CMS (Content Management Systems) also use templates.
Template engines often have their own custom command or expression language. If an attacker can influence input into a template before it is processed, then the attacker can invoke arbitrary expressions, i.e. perform injection attacks. For example, in some template languages, an attacker could inject the expression "{{7*7}}" and determine if the output returns "49" instead. The syntax varies depending on the language.
In some cases, XSS-style attacks can work, which can obscure the root cause if the developer does not closely investigate the root cause of the error.
Template engines can be used on the server or client, so both "sides" could be affected by injection. The mechanisms of attack or the affected technologies might be different, but the mistake is fundamentally the same.