Twig安全版本:当使用文件系统加载器时,可以在配置的目录之外加载模板
2022年9月28日·发表的法比安效力
影响版本
树枝>1.0.0,<1.44.7 || >2.0.0,<2.15.3 || >3.0.0,<3.4.3受此安全问题影响。
该问题已在树枝1.44.7,2.15.3和3.4.3中修复。
描述
当使用文件系统加载器加载名称为用户输入的模板时,可以使用源
或包括
语句从模板目录外读取任意文件时使用的名称空间@somewhere / . . / some.file
(在这种情况下,验证将被绕过)。
决议
我们修正了此类模板名称的验证。
即使是1。X分支不再维护,已经发布了一个新版本。
学分
我们要感谢Dariusz Tytko报告这个问题和Fabien Potencier修复这个问题。
发表在#嫩枝
评论
杰罗姆Tamarelle
2022年9月28日说在16:01
# 1
此问题的补丁在这里:https://github.com/twigphp/Twig/commit/35f3035c5deb0041da7b84daf02dea074ddc7a0b
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。