漏洞描述 Jinja 2是一种面向Python的现代和设计友好的模板语言,它是以Django的模板为模型的Jinja2 是 Flask 框架的一部分。Jinja2会把模板参数提供的相应的值替换了 {{…}} 块Jinja2 模板同样支持控制语句,像在 {%…%} 块中.Jinja2注入可导致命令执行
相关漏洞推荐 POC CVE-2021-32618: Python Flask-Security - Open Redirect POC CVE-2024-21644: pyLoad Flask Config - Access Control POC jinja2-oob: Jinja2 - Out of Band Template Injection POC flask-werkzeug-debug: Flask Werkzeug Debugger Exposure POC flask-redis-docker: Flask Redis Queue Docker - Exposure Jumpserver Jinja2 模版注入致远程代码执行漏洞 pyLoad Flask Config信息泄露