James Williams

**Nome do software vulnerável e versões afetadas** Tabela Paragraphs do Drupal, versões 0.0.0 a 1.22.0 Tabela Paragraphs do Drupal, versões 2.0.0 a 2.0.1 **Descrição** O problema está relacionado à granularidade insuficiente do controle de acesso na tabela Drupal Paragraphs, o que permite a falsificação de conteúdo. Isso pode ser explorado por um invasor remoto para contornar restrições de segurança e obter acesso não autorizado a informações protegidas. **Recomendações** Para as versões da tabela Drupal Paragraphs de 0.0.0 a 1.22.0, atualize para a versão 1.23.0 ou posterior. Para as versões da tabela Drupal Paragraphs de 2.0.0 a 2.0.1, atualize para a versão 2.0.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 1.x do Twig anteriores à 1.44.7 Versões 2.x do Twig anteriores à 2.15.3 Versões 3.x do Twig anteriores à 3.4.3 **Descrição** O problema ocorre quando o carregador do sistema de arquivos carrega modelos cujo nome é fornecido pelo usuário. É possível usar a instrução `source` ou `include` para ler arquivos arbitrários de fora do diretório dos modelos ao usar um namespace como `@somewhere/../some.file`. Nesse caso, a validação é contornada. **Recomendações** Para versões 1.x anteriores à 1.44.7, atualize para a versão 1.44.7 ou posterior. Para versões 2.x anteriores à 2.15.3, atualize para a versão 2.15.3 ou posterior. Para versões 3.x anteriores à 3.4.3, atualize para a versão 3.4.3 ou posterior. Como solução temporária, considere restringir o uso das instruções `source` e `include` com nomes de modelos inseridos pelo usuário até que um patch esteja disponível.