Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Twig」に脆弱性 - EOLの旧版にもアップデートを用意

SensioLabsが提供するPHP向けのテンプレートエンジン「Twig」に脆弱性が明らかとなった。メンテナンスを行っていない旧版に対してもアップデートを用意したという。

現地時間9月9日にアドバイザリを公表し、サンドボックスのバイパスが可能となる脆弱性について明らかにしたもの。「同3.13.0」および以前のバージョンが影響を受ける。

特定の状況下において、サンドボックスのセキュリティチェックが実行されず、ユーザーが提供したテンプレートにおいてサンドボックスの制限を回避されるおそれがあるという。

アドバイザリの公表時点で、CVE番号や共通脆弱性評価システム「CVSS」のベーススコアなどは示していない。

開発チームでは、脆弱性を修正した「同3.14.0」をリリース。すでにサポートが終了している「同2.x」「同1.x」に対しても同脆弱性を修正した「同2.16.1」「同1.44.8」を用意している。

(Security NEXT - 2024/09/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

教員の業績管理システムに脆弱性 - パッチがリリース
「NVIDIA Container Toolkit」に「クリティカル」の脆弱性
「WP Engine」からの遮断を一時停止 - WordPress.org
研究者交流サイト「東海国立大学機構100人論文」が改ざん被害
3カ月連続で300件以上のDDoS攻撃を観測 - IIJ
委託先が研修受講者リストをメールで誤送信 - 大阪市
WatchGuardのSSO機能に脆弱性 - アップデートは10月末、回避策の実施を
「Progress WhatsUp Gold」に複数の深刻な脆弱性 - 早急に更新を
先週注目された記事(2024年9月22日〜2024年9月28日)
「NVIDIA CUDA Toolkit」に脆弱性 - サービス拒否のおそれ