漏洞标题
N/A
漏洞描述信息
**争议** Twig 2.4.4之前版本可以通过搜索搜索_key参数实现服务器端模板注入(SSTI)。请注意:供应商指出,Twig本身不是一个Web应用程序,并指出使用Twig的Web应用程序有责任正确地将输入封装到twig中。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Twig before 2.4.4 allows Server-Side Template Injection (SSTI) via the search search_key parameter. NOTE: the vendor points out that Twig itself is not a web application and states that it is the responsibility of web applications using Twig to properly wrap input to it
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Sensio Labs Twig 安全漏洞
漏洞描述信息
Sensio Labs Twig是法国Sensio Labs公司的一个PHP模板引擎,它允许开发人员自定义标签和过滤器,并创建DSL。 Sensio Labs Twig 2.4.4之前版本中存在安全漏洞。攻击者可借助‘search search_key’参数利用该漏洞执行命令。
CVSS信息
N/A
漏洞类别
代码注入