Maantje

**Name of the Vulnerable Software and Affected Versions** Packistry versions prior to 0.13.0 **Description** Packistry is a self-hosted Composer repository for PHP package distribution. Prior to version 0.13.0, the `RepositoryAwareController::authorize()` function did not enforce token expiration, allowing expired deploy tokens with the correct ability to access repository endpoints, such as Composer metadata and download APIs. The fix in version 0.13.0 adds an explicit expiration check to the `authorize()` function, and tests now verify that expired deploy tokens are rejected. **Recommendations** Update to version 0.13.0 or later.

**Nome do software vulnerável e versões afetadas** Versões do Twig anteriores à 3.11.2 Versões do Twig anteriores à 3.14.1 **Descrição** Em uma sandbox, um invasor pode chamar ` toString()` em um objeto, mesmo que o método ` toString()` não seja permitido pela política de segurança quando o objeto faz parte de uma matriz ou de uma lista de argumentos. **Recomendações** Para versões anteriores à 3.11.2, atualize para a versão 3.11.2 ou posterior. Para versões anteriores à 3.14.1, atualize para a versão 3.14.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Twig anteriores à 3.11.2 Versões do Twig anteriores à 3.14.1 **Descrição** Em um ambiente de sandbox, um invasor pode acessar atributos de objetos do tipo Array, uma vez que estes não eram verificados pela política de segurança. Agora, eles são verificados por meio da política de propriedades, e o método ` isset()` é chamado após a verificação de segurança. Esta é uma quebra de compatibilidade (BC break). **Recomendações** Para versões anteriores à 3.11.2, atualize para a versão 3.11.2 ou posterior. Para versões anteriores à 3.14.1, atualize para a versão 3.14.1 ou posterior. Como solução temporária, considere restringir o acesso a objetos do tipo array no modo sandbox até que um patch seja aplicado.