Tredici vulnerabilità corrette in un colpo solo, di cui due classificate come critiche: è questo il biglietto da visita di Twig 3.26.0, l'aggiornamento del motore di template per PHP che alimenta buona parte dell'ecosistema Symfony. Non si tratta di funzionalità nuove o ritocchi cosmetici. Si parla di iniezione di codice PHP arbitrario attraverso la cache compilata, di sandbox aggirate come se non esistessero e di filtri che dichiaravano il proprio output «sicuro» quando non lo era affatto. Per chi gestisce template non fidati - e in molti contesti multiutente è esattamente la situazione - l'aggiornamento non è facoltativo. [continua..]
---
Cosa ne pensi? Lascia il tuo commento qui sotto.