• CWE-1336: Improper Neutralization of Special Elements Used in a Template Engine

Das Produkt verwendet eine Template-Engine, um extern beeinflussten Input einzufügen oder zu verarbeiten. Es werden jedoch keine Neutralisierungen durchgeführt oder diese werden fehlerhaft implementiert, wodurch spezielle Elemente oder Syntax, die als Template-Expressions oder andere Code-Direktiven interpretiert werden können, bei der Verarbeitung durch die Engine nicht abgemildert werden.

CWE-1336: Improper Neutralization of Special Elements Used in a Template Engine

CWE ID: 1336
Name: Improper Neutralization of Special Elements Used in a Template Engine

Beschreibung

Das Produkt verwendet eine Template-Engine, um extern beeinflussten Input einzufügen oder zu verarbeiten. Es werden jedoch keine Neutralisierungen durchgeführt oder diese werden fehlerhaft implementiert, wodurch spezielle Elemente oder Syntax, die als Template-Expressions oder andere Code-Direktiven interpretiert werden können, bei der Verarbeitung durch die Engine nicht abgemildert werden.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Wählen Sie eine Template-Engine, die eine Sandbox oder einen eingeschränkten Modus bietet, oder zumindest die Leistungsfähigkeit von verfügbaren Expressions, Function Calls oder Commands limitiert.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Nutzen Sie die Sandbox oder den eingeschränkten Modus der Template-Engine, sofern verfügbar.