CVE-2026-22692

Name of the Vulnerable Software and Affected Versions October versões anteriores a 3.7.13 October versões 4.0.0 até 4.1.4

Description Um bypass de sandbox existe no recurso opcional Twig safe mode CMS SAFE MODE. Certos métodos no helper collect() não foram devidamente restringidos, permitindo que usuários autenticados com permissões de edição de template ignorem as proteções do sandbox. Este problema afeta apenas instalações onde o CMS SAFE MODE está habilitado, o qual vem desabilitado por padrão, e requer acesso autenticado ao backend com permissões de edição de template do CMS.

Recommendations Atualizar versões anteriores a 3.7.13 para 3.7.13. Atualizar versões 4.0.0 até 4.1.4 para 4.1.5. Desabilitar o CMS SAFE MODE se a edição de templates não confiáveis não for necessária. Restringir as permissões de edição de template do CMS apenas a administradores totalmente confiáveis.