Injection de template côté serveur.

L'injection de template côté serveur (SSTI) survient lorsque l'entrée utilisateur est concaténée dans un template traité par un moteur comme Jinja2, Twig, Freemarker, Velocity ou ERB. Beaucoup de moteurs permettent d'accéder à des objets et d'appeler des méthodes dans les expressions, si bien que des charges utiles comme {{7*7}} ou ${...} peuvent lire des variables d'environnement, parcourir le graphe d'objets et, in fine, exécuter du code arbitraire ou des commandes système. L'impact va de la divulgation de données à la prise de contrôle complète du serveur. Les défenses consistent à passer les données utilisateur uniquement comme variables de template (jamais comme template lui-même), à utiliser des moteurs sandboxés ou sans logique, à restreindre par liste blanche les noms de templates, à appliquer un encodage de sortie contextuel et à exécuter l'application avec un privilège minimal.