Twig 1.12.3 schließt alte Sicherheitslücke
Kommentare

Das Templating-Tool Twig hatte bis zum Erscheinen des jüngsten Patches eine Sicherheitslücke, über die schon seit allen vorherigen Twig-Versionen unter Umständen beliebiger Code in den Loader eingeschleust

Das Templating-Tool Twig hatte bis zum Erscheinen des jüngsten Patches eine Sicherheitslücke, über die schon seit allen vorherigen Twig-Versionen unter Umständen beliebiger Code in den Loader eingeschleust werden konnte. Genau genommen war dies nur möglich, wenn nicht vertrauenswürdige Template-Namen, etwa von Endbenutzer stammende Namen, geladen wurden.

Die Lücke funktioniert so, dass über die eingeschleusten Template-Namen in höhere Verzeichnisse aufgestiegen werden kann, wenn includes eine „../“-Notation vorangestellt wird. Der Patch lässt sich manuell oder via Update implementieren. Dank ihm werden in solchen Fällen Exceptions ausgegeben.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -