ГлавнаяБаза уязвимостей БДУ → BDU:2025-00112
6.8высокая

BDU:2025-00112 (CVE-2024-34064)

Уязвимость компилятора инструмента для html-шаблонизации jinja, позволяющая нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2025-04-30
Описание

Уязвимость компилятора инструмента для html-шаблонизации jinja связана с неприятием мер по нейтрализации специальных управляющих элементов при обработке f-строк. Эксплуатация уязвимости может позволить нарушителю обойти защитный механизм песочницы, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)АЛЬТ СП 10Astra Linux Special Edition (1.8)jinja (от 3.0 до 3.1.5)МСВСфера (9.5)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
https://github.com/pallets/jinja/commit/767b23617628419ae3709ccfb02f9602ae9fe51f
https://github.com/pallets/jinja/releases/tag/3.1.5

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-jinja2-cve-2024-34064-cve-2024-56326-cve-2024-56201/?sphrase_id=643822

Для ОС Astra Linux:
обновить пакет jinja2 до 3.1.2-1ubuntu1.1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:0308?lang=ru

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения jinja2 до версии 3.1.2-1+deb12u3

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://github.com/pallets/jinja/commit/767b23617628419ae3709ccfb02f9602ae9fe51fhttps://github.com/pallets/jinja/issues/1792https://github.com/pallets/jinja/releases/tag/3.1.5https://github.com/pallets/jinja/security/advisories/GHSA-gmj6-6f8f-6699https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-python3-jinja2-cve-2024-34064-cve-2024-56326-cve-2024-56201/?sphrase_id=643822https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18https://altsp.su/obnovleniya-bezopasnosti/https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:0308?lang=ru
Проверьте безопасность своего сайта и почты → Полная проверка домена