CVE-2026-45017

Nome do Software Vulnerável e Versões Afetadas Python Liquid versões anteriores a 2.2.0

Descrição Os componentes integrados FileSystemLoader e CachingFileSystemLoader não impedem a leitura de arquivos fora de seus caminhos de busca designados quando um caminho absoluto é fornecido. Isso permite que autores de templates maliciosos carreguem e renderizem arquivos arbitrários por meio das tags {% include %} e {% render %}, desde que os arquivos visados contenham marcação Liquid válida e sejam legíveis pelo processo da aplicação.

Recomendações Atualize para a versão 2.2.0. Como medida paliativa temporária, crie um carregador de templates personalizado herdando de FileSystemLoader e sobrescrevendo a função resolve path() para garantir que caminhos absolutos e referências a diretórios pai sejam bloqueados.