Fabpot

Nome do software vulnerável e versões afetadas: Versões do Twig anteriores à 1.44.8 Versões do Twig anteriores à 2.16.1 Versões do Twig anteriores à 3.14.0 Descrição: Em determinadas circunstâncias, as verificações de segurança da sandbox não são executadas, o que permite que modelos criados por usuários contornem as restrições da sandbox. Esse problema ocorre quando a sandbox está desativada globalmente e uma função `include()` em sandbox faz referência a um nome de modelo que já foi carregado anteriormente em um contexto fora da sandbox. Recomendações: Para versões anteriores à 1.44.8, atualize para a versão 1.44.8 ou posterior. Para versões anteriores à 2.16.1, atualize para a versão 2.16.1 ou posterior. Para versões anteriores à 3.14.0, atualize para a versão 3.14.0 ou posterior. Como solução alternativa temporária, considere habilitar as verificações de segurança da sandbox globalmente para impedir que modelos contribuídos por usuários contornem as restrições da sandbox.

**Name of the Vulnerable Software and Affected Versions** Symfony versions prior to 2.3.37 Symfony versions 2.6.x prior to 2.6.13 Symfony versions 2.7.x prior to 2.7.9 **Description** The issue concerns the generation of random numbers by the nextBytes function in the SecureRandom class. When used with PHP 5.x and without the paragonie/random compat library, the function does not work correctly if the openssl random pseudo bytes function fails. This makes it easier for attackers to bypass cryptographic protection mechanisms. **Recommendations** For Symfony versions prior to 2.3.37, update to version 2.3.37 or later. For Symfony versions 2.6.x prior to 2.6.13, update to version 2.6.13 or later. For Symfony versions 2.7.x prior to 2.7.9, update to version 2.7.9 or later.

**Name of the Vulnerable Software and Affected Versions** Sensio Labs Twig versions prior to 1.20.0 **Description** The issue allows remote attackers to execute arbitrary code via the ` self` variable in a template when Sandbox mode is enabled. This is related to the `displayBlock` function in `Template.php`. **Recommendations** For versions prior to 1.20.0, update to version 1.20.0 or later to resolve the issue. As a temporary workaround, consider disabling the `displayBlock` function or restricting the use of the ` self` variable in templates until a patch is available. Restrict access to the `Template.php` file to minimize the risk of exploitation.