Sensio Labs Twig 注入漏洞

CNNVD编号CNNVD-202202-431

CVE编号 CVE-2022-23614	CNVD编号 --
CICSVD编号 --
危害级别	漏洞类型注入
厂商 --	威胁类型远程
发布时间 2022-02-04	更新时间 2022-12-09
CVSS 2.0 AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 3.X CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞来源 --

漏洞简介

Sensio Labs Twig是法国Sensio Labs公司的一个PHP模板引擎，它支持自定义标签和过滤器，并创建DSL。 Sensio Labs Twig 存在注入漏洞，在沙箱模式下，sort过滤器的 arrow 参数必须是一个闭包，以避免攻击者利用该漏洞运行任意PHP函数。在受影响的版本中，这个约束没有被适当地强制执行，可能导致任意PHP代码的代码注入。

漏洞公告

暂无

受影响实体

序号	受影响实体
1	CPE:/a:symfony:twig:3.0.0:-::
2	CPE:/a:symfony:twig:3.0.0:beta1::
3	CPE:/a:symfony:twig:3.0.1:::
4	CPE:/a:symfony:twig:3.0.2:::
5	CPE:/a:symfony:twig:3.0.3:::

1
2
3
4
5
•••
15

补丁

暂无

参考网址

序号	链接	原站
1	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I2PVV5DUTRUECTIHMTWRI5Z7DVNYQ2YO/	FEDORA
2	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SIGZCFSYLPP7UVJ4E4NLHSOQSKYNXSAD/	FEDORA
3	https://github.com/twigphp/Twig/commit/2eb33080558611201b55079d07ac88f207b466d5	MISC
4	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OTN4273U4RHVIXED64T7DSMJ3VYTPRE7/	FEDORA
5	https://www.debian.org/security/2022/dsa-5107	DEBIAN

1
2
3

检索漏洞

相关漏洞

Sensio Labs Twig信息泄露漏洞 2019-03-25

Sensio Labs Twig 远程代码执行漏洞 2015-08-26

Sensio Labs Twig 路径遍历漏洞 2022-09-28

Sensio Labs Twig 安全漏洞 2018-07-10

Sensio Labs Twig 信息泄露漏洞 2019-03-23

同类型漏洞

Reprise Software Reprise License Manager 注入漏洞 2023-01-20

Kirby 注入漏洞 2023-01-19

Async 注入漏洞 2023-01-18

galaxy-data-resource 注入漏洞 2023-01-17

Apache HTTP Server 注入漏洞 2023-01-17