php · twig/twigCrítico
twig/twig: correção de segurança na verificação de sandbox para callbacks em filtros
A restrição de sandbox para filtros que aceitam callbacks (sort, filter, map, reduce) nem sempre é aplicada ao usar uma SourcePolicyInterface.
O que mudou
A restrição de sandbox para filtros que aceitam callbacks (sort, filter, map, reduce) nem sempre é aplicada ao usar uma SourcePolicyInterface. A verificação em tempo de execução para callbacks não-Closure não usa o Source do template atual, permitindo potencialmente callables PHP arbitrários em templates com sandbox.
Quem isso afeta
Usuários do Twig que ativam sandbox via SourcePolicyInterface (não globalmente) e usam os filtros sort, filter, map ou reduce com callbacks não-Closure.
O que fazer hoje
Atualize o Twig para a versão corrigida que torna as verificações de sandbox de callbacks cientes do Source.
A esteira
Coletado→
Auditado→
Redigido→
Publicado