0Xhunsecanalyst

**Nome do Software Vulnerável e Versões Afetadas** Python Liquid versões anteriores a 2.2.0 **Descrição** Os componentes integrados `FileSystemLoader` e `CachingFileSystemLoader` não impedem a leitura de arquivos fora de seus caminhos de busca designados quando um caminho absoluto é fornecido. Isso permite que autores de templates maliciosos carreguem e renderizem arquivos arbitrários por meio das tags `{% include %}` e `{% render %}`, desde que os arquivos visados contenham marcação Liquid válida e sejam legíveis pelo processo da aplicação. **Recomendações** Atualize para a versão 2.2.0. Como medida paliativa temporária, crie um carregador de templates personalizado herdando de `FileSystemLoader` e sobrescrevendo a função `resolve path()` para garantir que caminhos absolutos e referências a diretórios pai sejam bloqueados.