Das Templating-Tool Twig hatte bis zum Erscheinen des jüngsten Patches eine Sicherheitslücke, über die schon seit allen vorherigen Twig-Versionen unter Umständen beliebiger Code in den Loader eingeschleust werden konnte. Genau genommen war dies nur möglich, wenn nicht vertrauenswürdige Template-Namen, etwa von Endbenutzer stammende Namen, geladen wurden.
Die Lücke funktioniert so, dass über die eingeschleusten Template-Namen in höhere Verzeichnisse aufgestiegen werden kann, wenn includes eine „../“-Notation vorangestellt wird. Der Patch lässt sich manuell oder via Update implementieren. Dank ihm werden in solchen Fällen Exceptions ausgegeben.
Hinterlasse einen Kommentar
Hinterlasse den ersten Kommentar!