Tredici vulnerabilità corrette in un colpo solo, di cui due classificate come critiche: è questo il biglietto da visita di Twig 3.26.0, l’aggiornamento del motore di template per PHP che alimenta buona parte dell’ecosistema Symfony. Non si tratta di funzionalità nuove o ritocchi cosmetici. Si parla di iniezione di codice PHP arbitrario attraverso la cache compilata, di sandbox aggirate come se non esistessero e di filtri che dichiaravano il proprio output «sicuro» quando non lo era affatto. Per chi gestisce template non fidati – e in molti contesti multiutente è esattamente la situazione – l’aggiornamento non è facoltativo.
» Leggi tutto
Powered by WPeMatico