## https://sploitus.com/exploit?id=50F7E38D-1A97-54AA-9C2E-F4BFDA13C9D3
# CVE-2026-38165 (SSTI Velocity)
# Server-Side Template Injection (SSTI) in XDocReport allows Remote Code Execution via Apache Velocity engine
## Bug Definition
Tổng quan về lỗ hổng
- Server-Side Template Injection (SSTI) là một lỗ hổng bảo mật web cho phép tấn công chèn mã độc vào các mẫu (templates) được sử dụng bởi các hệ thống quản lý nội dung (CMS) và các khung (framework) web, nhằm thực hiện các cuộc tấn công từ xa, thực hiện lấy thông tin nhạy cảm hoặc thực hiện các hoạt động xâm nhập hệ thống.
- SSTI là một biến thể của lỗ hổng Injection (như SQL Injection, XSS, v.v.), trong đó tin tặc tận dụng việc sử dụng các hệ thống templates để triển khai mã độc từ xa. Khi một tấn công SSTI được thực hiện thành công, tin tặc có thể thực thi mã của riêng mình trên máy chủ ở phía máy chủ, cho phép họ thực hiện các cuộc tấn công từ xa, như thu thập thông tin nhạy cảm, thực hiện các hoạt động xâm nhập hệ thống, và truy cập các tài nguyên không được ủy quyền.
- Lỗ hổng SSTI thường xảy ra do việc sử dụng các hệ thống templates không an toàn, hoặc do không kiểm tra và xử lý các tham số đầu vào trước khi chèn chúng vào các mẫu. Nếu một tấn công SSTI được thực hiện thành công, hậu quả có thể là nghiêm trọng và gây ra tổn thất lớn cho tổ chức bị tấn công.
Ảnh hưởng kinh doanh
- Lỗ hổng SSTI có thể gây ra nhiều hậu quả nghiêm trọng, bao gồm:
- Thực thi mã độc: Kẻ tấn công có thể sử dụng lỗ hổng này để thực thi mã độc trên máy chủ, cho phép tấn công đánh cắp dữ liệu, thực hiện các hành động không hợp pháp trên hệ thống, thậm chí kiểm soát hoàn toàn máy chủ.
- Tiết lộ thông tin nhạy cảm: SSTI có thể cho phép tấn công đọc, thay đổi hoặc xóa các tệp tin trên máy chủ. Nếu các tệp tin này chứa thông tin nhạy cảm, như tài khoản và mật khẩu, thì kẻ tấn công có thể dễ dàng tiết lộ thông tin này.
- Tấn công đe dọa hoặc lừa đảo người dùng: Kẻ tấn công có thể sử dụng SSTI để thực hiện các tấn công đe dọa hoặc lừa đảo người dùng, bằng cách thay đổi nội dung của trang web hoặc thêm các nút tùy chỉnh giả mạo. Nếu người dùng bấm vào các nút này, kẻ tấn công có thể đánh cắp thông tin người dùng hoặc cài đặt phần mềm độc hại trên máy tính của họ.
## Severity CRITICAL
## Description and Impact
fr.opensagres.xdocreport.template.velocity
A Server-Side Template Injection (SSTI) vulnerability was found in OpenSAGRES XDocReport when processing DOCX templates with the velocity engine. Under certain configurations, crafted templates can lead to Remote Code Execution (RCE).
Trang web quản lý nhân sự cho phép người dùng upload tệp tài liệu ``.docx`` lên hệ thống. Trong quá trình xử lý, ứng dụng sử dụng template engine velocity (tại file ) để render nội dung mà không có cơ chế kiểm soát hoặc lọc nội dung đầu vào.
Lỗ hổng này cho phép attacker chèn các biểu thức độc hại vào file .docx (template), dẫn đến Remote Code Execution (RCE) trên máy chủ và có thể bị lợi dụng để đánh cắp thông tin hoặc chiếm quyền điều khiển hệ thống.
## Affected component
fr.opensagres.xdocreport.template.velocity — XDocReport (versions =
4.0.0
org.example
vcs1
1.0-SNAPSHOT
18
18
UTF-8
fr.opensagres.xdocreport
fr.opensagres.xdocreport.template.freemarker
2.1.0
fr.opensagres.xdocreport
fr.opensagres.xdocreport.template.velocity
2.1.0
fr.opensagres.xdocreport
fr.opensagres.xdocreport.document.docx
2.0.3
```
## Debug phân tích source sink
- report.process(context, out) — đây là điểm template được render/ghi ra file
## Tài liệu
- https://drive.google.com/drive/folders/1pLguRIVrqyXcy1jE35nW-wAvBR0sHb7x?usp=drive_link