CVE-2021-41170

Versões do neoan3-apps/template anteriores à 1.1.1

O problema decorre da permissão para que closures sejam passados diretamente para o mecanismo de modelos, o que permite a execução de valores que são chamáveis. Isso pode levar a uma execução indesejada ou maliciosa se um valor tiver o mesmo nome que um método ou função no escopo. Todos os usuários do pacote estão potencialmente afetados, especialmente aqueles que lidam com entradas diretas do usuário ou valores de banco de dados, tornando plausível um ataque em várias etapas.

Para versões anteriores à 1.1.1, a única abordagem segura é trabalhar com valores codificados, embora isso possa contrariar o objetivo de usar um mecanismo de modelos. Portanto, recomenda-se atualizar para a versão 1.1.1 ou posterior para corrigir essa vulnerabilidade. Como solução temporária, considere evitar o uso de closures no mecanismo de modelos até que o problema seja resolvido.