【安全资讯】CVE-2024-45411: Twig沙盒绕过漏洞威胁PHP应用安全

概要：

Twig是一个广泛使用的PHP模板引擎，最近发现了一个严重的安全漏洞CVE-2024-45411，可能允许攻击者绕过沙盒限制并执行恶意代码。该漏洞的CVSS评分为8.5，表明其高危性，可能对依赖Twig进行模板渲染的Web应用产生严重影响。

主要内容：

Twig的沙盒功能是其安全检查的关键部分，负责对用户生成的模板进行安全验证。然而，在特定条件下，这些沙盒检查可能无法运行，使攻击者能够绕过通常的限制。具体来说，当沙盒在全局范围内被禁用时，如果通过sandboxed include()函数启用沙盒并引用模板名称（如included.twig），而不是使用Template或TemplateWrapper实例，并且该模板之前在非沙盒上下文中加载过，攻击者就可以利用这一漏洞注入恶意代码或绕过模板限制。

CVE-2024-45411漏洞影响了多个版本的Twig，包括1.0.0到1.44.7、2.0.0到2.16.0以及3.0.0到3.13.0。开发者和管理员被强烈建议立即更新到最新的补丁版本：1.44.8、2.16.1和3.14.0。补丁通过确保在运行时始终执行沙盒安全检查，即使在之前存在问题的条件下，也能有效解决该漏洞。

鉴于该漏洞的潜在严重性，所有使用Twig的PHP应用必须尽快更新到补丁版本。延迟此操作可能会使应用暴露于攻击之下，导致数据泄露、服务中断或其他安全问题。