PT-2024-31614 · Twig+3 · Twig+3
Fabpot
·
Publicado
2024-09-09
·
Atualizado
2026-05-22
·
CVE-2024-45411
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Twig anteriores à 1.44.8
Versões do Twig anteriores à 2.16.1
Versões do Twig anteriores à 3.14.0
Descrição:
Em determinadas circunstâncias, as verificações de segurança da sandbox não são executadas, o que permite que modelos criados por usuários contornem as restrições da sandbox. Esse problema ocorre quando a sandbox está desativada globalmente e uma função
include() em sandbox faz referência a um nome de modelo que já foi carregado anteriormente em um contexto fora da sandbox.Recomendações:
Para versões anteriores à 1.44.8, atualize para a versão 1.44.8 ou posterior.
Para versões anteriores à 2.16.1, atualize para a versão 2.16.1 ou posterior.
Para versões anteriores à 3.14.0, atualize para a versão 3.14.0 ou posterior.
Como solução alternativa temporária, considere habilitar as verificações de segurança da sandbox globalmente para impedir que modelos contribuídos por usuários contornem as restrições da sandbox.
Exploit
Correção
DoS
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Red Os
Twig
Ubuntu