php · twig/twigAtenção
twig/twig: HtmlDumper agora escapa nomes de template e perfil contra XSS
Twig\Profiler\Dumper\HtmlDumper agora escapa nomes de template e perfil com htmlspecialchars() antes de exibi-los em HTML.
O que mudou
Twig\Profiler\Dumper\HtmlDumper agora escapa nomes de template e perfil com htmlspecialchars() antes de exibi-los em HTML.
Quem isso afeta
Desenvolvedores que usam o profiler do Twig com nomes de template controlados por atacante (ex.: chaves do ArrayLoader ou IDs de linhas do banco).
O que fazer hoje
Atualize o Twig para a versão corrigida mais recente para prevenir XSS na saída do profiler.
A esteira
Coletado→
Auditado→
Redigido→
Publicado