الثغرات ›

CVE-2026-45017

مرتفع

CWE-22 — نوع الضعف

                    نُشر: May 28, 2026                      ·  آخر تحديث: Jun 4, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Python Liquid is a Python engine for the Liquid template language. Prior to 2.2.0, the built-in FileSystemLoader and CachingFileSystemLoader do not guard against reading files outside their search paths when given an absolute path to resolve. This allows malicious template authors to load and render arbitrary files via the {% include %} and {% render %} tags. Targeted files would need to contain valid Liquid markup and be readable by the application process. This vulnerability is fixed in 2.2.0.

🤖 ملخص AI

Python Liquid versions before 2.2.0 allow path traversal attacks through FileSystemLoader and CachingFileSystemLoader, enabling malicious template authors to read arbitrary files via include and render tags. Organizations using vulnerable versions risk unauthorized file disclosure if template content is user-controlled or insufficiently validated.

📄 الوصف (العربية)

يحتوي Python Liquid على ثغرة اجتياز مسار في فئات FileSystemLoader و CachingFileSystemLoader تسمح بقراءة الملفات خارج مسارات البحث المحددة عند توفير مسار مطلق. يمكن للمهاجمين استخدام علامات {% include %} و {% render %} لتحميل وعرض ملفات عشوائية على النظام، مما يؤدي إلى كشف البيانات الحساسة.

🤖 ملخص تنفيذي (AI)

إصدارات Python Liquid السابقة للإصدار 2.2.0 تسمح بهجمات اجتياز المسار عبر FileSystemLoader و CachingFileSystemLoader، مما يمكّن مؤلفي القوالب الضارين من قراءة ملفات عشوائية. المنظمات التي تستخدم الإصدارات الضعيفة تواجه خطر الكشف غير المصرح به عن الملفات.

🤖 التحليل الذكي آخر تحليل: Jun 3, 2026 06:57

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1083 T1190 T1552

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Python Liquid to version 2.2.0 or later immediately. Implement strict input validation for template paths, avoid using absolute paths in template resolution, restrict template directory access permissions, and apply principle of least privilege to application processes. Monitor template rendering logs for suspicious file access patterns.

🔧 خطوات المعالجة (العربية)

قم بترقية Python Liquid إلى الإصدار 2.2.0 أو أحدث فوراً. طبّق التحقق الصارم من صحة مسارات القوالب، تجنب استخدام المسارات المطلقة في حل القوالب، قيّد صلاحيات الوصول لدليل القوالب، وطبّق مبدأ أقل صلاحية للعمليات. راقب سجلات عرض القوالب للكشف عن أنماط وصول الملفات المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.8.1.1 A.8.1.3 A.8.2.1

🔵 SAMA CSF

ID.AM-2 PR.DS-1 PR.DS-2

🟡 ISO 27001:2022

A.6.1.1 A.8.1.1 A.8.2.1 A.8.2.3 A.12.6.1

🔗 المراجع والمصادر 1

🔗

https://github.com/jg-rp/liquid/security/advisories/GHSA-8p4x-wr7x-3788

security-advisories@github.com

Mitigation Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

jg-rp:python_liquid

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-22

EPSS0.09%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-28

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-22

🏢 توجيهات البائع

🔗 https://github.com/jg-rp/liquid/security/advisories/...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45017

عرّفنا بنفسك

تسجيل الدخول مطلوب