A vulnerability has been found in Dromara lamp-cloud up to 5.6.2. Impacted is the function GroovyClassLoader.parseClass of the component Message Template Handler. Such manipulation of the argument DefMsgTemplate.content leads to improper neutralization of special elements used in a template engine. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-9498 is a template injection vulnerability in Dromara lamp-cloud versions up to 5.6.2 affecting the Message Template Handler component. Remote attackers can exploit improper neutralization of special elements in template content to execute arbitrary code.
تتعلق الثغرة بمعالج قوالب الرسائل في Dromara lamp-cloud حيث يفشل النظام في تحييد العناصر الخاصة المستخدمة في محرك القوالب. يمكن للمهاجمين إرسال محتوى قالب ضار عبر DefMsgTemplate.content لتنفيذ كود تعسفي على الخادم.
ثغرة حقن القوالب في Dromara lamp-cloud الإصدارات حتى 5.6.2 تؤثر على معالج قوالب الرسائل. يمكن للمهاجمين البعيدين استغلال عدم معالجة العناصر الخاصة بشكل صحيح لتنفيذ كود تعسفي.
Upgrade Dromara lamp-cloud to version 5.6.3 or later immediately. Implement input validation and sanitization for all template content parameters. Apply Web Application Firewall rules to detect and block template injection patterns. Restrict access to message template functionality to authorized users only.
قم بترقية Dromara lamp-cloud إلى الإصدار 5.6.3 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتطهير لجميع معاملات محتوى القالب. طبق قواعد جدار حماية تطبيقات الويب للكشف عن أنماط حقن القوالب. قيد الوصول إلى وظائف قوالب الرسائل للمستخدمين المصرح لهم فقط.