Inyección de plantillas del lado del servidor.

La inyección de plantillas del lado del servidor (SSTI) ocurre cuando la entrada del usuario se concatena en una plantilla procesada por motores como Jinja2, Twig, Freemarker, Velocity o ERB. Muchos motores permiten acceder a objetos y llamar métodos dentro de las expresiones, por lo que cargas como {{7*7}} o ${...} pueden leer variables de entorno, recorrer el grafo de objetos y, en última instancia, ejecutar código arbitrario o comandos del sistema. El impacto va desde la divulgación de datos hasta el control total del servidor. Las defensas consisten en pasar los datos del usuario solo como variables de plantilla (nunca como la plantilla misma), usar motores en sandbox o sin lógica, limitar los nombres de plantilla con una lista blanca, aplicar codificación contextual de salida y ejecutar la aplicación con privilegios mínimos.