安全发布:Twig 1.20.0

2015年8月12日·发表的

我刚刚发布了Twig 1.20.0，其中包含了Twig沙盒模式的安全漏洞修复。

描述

如果您允许最终用户提交Twig模板，即使您使用Twig的沙盒模式保护该模板，您的应用程序也会受到影响。

最终用户可以编写有效的Twig代码，允许他们通过_self变量，它总是可用的，即使在沙盒模板中也是如此。

所有版本的Twig都受到影响。

如果无法升级，可以使用专用拉请求．

我要感谢James Kettle，他是第一个报告RCE安全问题的人，Alain Tiemblo, Christophe Coevoet和Fabien Potencier，他们发现了更多可能和危险的RCE。

感谢Christophe Coevoet, Tugdual Saunier和Fabien Potencier为各种攻击载体提供修复。

快速记住，您可以使用Composer检查项目中的漏洞问题SensioLabs安全检查器．

发表在＃嫩枝

帮助Symfonyob娱乐下载项目!

与任何开源项目一样，贡献代码或文档是最常欧宝官网下载app见的帮助方式，但我们也有广泛的赞助机会．

为了确保评论保持相关性，旧帖子将被关闭。