PT-2024-34886 · Twig+1 · Twig+1
Maantje
·
Publicado
2024-11-06
·
Atualizado
2024-11-08
·
CVE-2024-51755
CVSS v3.1
2.2
Baixa
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Twig anteriores à 3.11.2
Versões do Twig anteriores à 3.14.1
Descrição
Em um ambiente de sandbox, um invasor pode acessar atributos de objetos do tipo Array, uma vez que estes não eram verificados pela política de segurança. Agora, eles são verificados por meio da política de propriedades, e o método
isset() é chamado após a verificação de segurança. Esta é uma quebra de compatibilidade (BC break).Recomendações
Para versões anteriores à 3.11.2, atualize para a versão 3.11.2 ou posterior.
Para versões anteriores à 3.14.1, atualize para a versão 3.14.1 ou posterior.
Como solução temporária, considere restringir o acesso a objetos do tipo array no modo sandbox até que um patch seja aplicado.
Exploit
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Twig