OpenOLAT: Server-Side Template Injection (SSTI) in Velocity-templates maakt Remote Code Execution mogelijk

OpenOlat is een open source web-based e-learning platform voor onderwijs, leren, beoordeling en communicatie. Voorafgaand aan versies 19.1.31, 20.1.18 en 20.2.5 kan een geauthenticeerde gebruiker met de rol Auteur Velocity-directives injecteren in een herinnerings-e-mailtemplate. Wanneer de herinnering wordt verwerkt (handmatig of via de dagelijkse cron-job), worden de geïnjecteerde directives server-side geëvalueerd. Door Velocity's #set-directive te koppelen aan Java-reflectie, kan een aanvaller willekeurige Java-klassen instantieren, zoals java.lang.ProcessBuilder, en besturingssysteemopdrachten uitvoeren met de privileges van het Tomcat-proces (meestal root in containerized deployments). Dit probleem is verholpen in versies 19.1.31, 20.1.18 en 20.2.5.