Vulnerabilidad en Twig (CVE-2022-39261)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
28/09/2022
Última modificación:
07/11/2023
Descripción
Twig es un lenguaje de plantillas para PHP. Las versiones 1.x anteriores a 1.44.7, 2.x anteriores a 2.15.3 y 3.x anteriores a 3.4.3 encuentran un problema cuando el cargador del sistema de archivos carga plantillas cuyo nombre es una entrada del usuario. Es posible usar la sentencia "source" o "include" para leer archivos arbitrarios desde fuera del directorio de las plantillas cuando es usado un espacio de nombres como "@somewhere/../some.file". En este caso, la comprobación es omitida. Las versiones 1.44.7, 2.15.3 y 3.4.3 contienen una corrección para la comprobación de estos nombres de plantillas. No son conocidas mitigaciones aparte de la actualización
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:symfony:twig:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.44.7 (excluyendo) |
| cpe:2.3:a:symfony:twig:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.15.3 (excluyendo) |
| cpe:2.3:a:symfony:twig:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.4.3 (excluyendo) |
| cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 9.3.22 (excluyendo) |
| cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* | 9.4.0 (incluyendo) | 9.4.7 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/twigphp/Twig/commit/35f3035c5deb0041da7b84daf02dea074ddc7a0b
- https://github.com/twigphp/Twig/security/advisories/GHSA-52m2-vc4m-jj33
- https://lists.debian.org/debian-lts-announce/2022/10/msg00016.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2OKRUHPVLIQVFPPJ2UWC3WV3WQO763NR/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AUVTXMNPSZAHS3DWZEM56V5W4NPVR6L7/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NWRFPZSR74SYVJKBTKTMYUK36IJ3SQJP/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TW53TFJ6WWNXMUHOFACKATJTS7NIHVQE/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WV5TNNJLGG536TJH6DLCIAAZZIPV2GUD/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YU4ZYX62H2NUAKKGUES4RZIM4KMTKZ7F/
- https://www.debian.org/security/2022/dsa-5248
- https://www.drupal.org/sa-core-2022-016