Disponible Twig 1.12.3: actualización de seguridad

Posted by victor on April 8th, 2013
twig-logoHoy el equipo de desarrollo de Twig, el motor de plantillas de Symfony2, ha publicado la versión 1.12.3 con motivo de una actualización de seguridad para la corrección del bug encontrado por Rick Prent. El bug se encuentra en la función Twig_Loader_Filesystem, encargada de cargar plantillas del sistema de ficheros, a la que se le podía forzar a cargar plantillas de un directorio para el que no estaba configurado. Todas las versiones de Twig están afectadas por lo que es muy recomendable actualizar. Si por algún motivo no puedes actualizar a la última versión, estos son los cambios manuales que hay que realizar:
diff --git a/lib/Twig/Loader/Filesystem.php b/lib/Twig/Loader/Filesystem.php
index faf27e3..84a5e03 100644
--- a/lib/Twig/Loader/Filesystem.php
+++ b/lib/Twig/Loader/Filesystem.php
@@ -203,6 +203,7 @@ protected function validateName($name)
             throw new Twig_Error_Loader('A template name cannot contain NUL bytes.');
         }

+        $name = ltrim($name, '/');
         $parts = explode('/', $name);
         $level = 0;
         foreach ($parts as $part) {
diff --git a/test/Twig/Tests/Loader/FilesystemTest.php b/test/Twig/Tests/Loader/FilesystemTest.php
index 9ea2d0e..798e994 100644
--- a/test/Twig/Tests/Loader/FilesystemTest.php
+++ b/test/Twig/Tests/Loader/FilesystemTest.php
@@ -47,6 +47,7 @@ public function getSecurityTests()
             array('filters\\..\\..\\AutoloaderTest.php'),
             array('filters\\\\..\\\\..\\\\AutoloaderTest.php'),
             array('filters\\//../\\/\\..\\AutoloaderTest.php'),
+            array('/../AutoloaderTest.php'),
         );
     }
  Twig: Obtener última versión. Test de vulnerabilidades: Security Advisories Checker.

Comments

comments powered by Disqus