CVE-2026-33154Dynaconf是一个Python配置管理工具。在3.2.13版本之前,由于@Jinja解析器存在不安全的模板评估问题,导致SSTI漏洞。当安装jinja2时,Dynaconf会在非沙箱环境中解析配置值中的模板表达式。攻击者可利用此漏洞在服务器端执行任意代码,获取系统权限,造成严重安全后果。
该漏洞的根本原因在于Dynaconf的@Jinja解析器在处理配置值时,直接调用了Jinja2模板引擎进行渲染,且未启用沙箱环境进行隔离。当应用程序加载包含`@jinja`前缀的配置项时,Dynaconf会将其传递给Jinja2进行动态求值。由于缺乏沙箱限制,攻击者可以构造恶意的Jinja2模板语法Payload(例如利用Python对象的继承链获取`os`或`subprocess`模块),并将其注入到配置文件或环境变量中。一旦应用程序读取并解析这些配置,恶意代码便会在服务器上下文中执行,导致远程代码执行(RCE),进而完全控制受害服务器。