ГлавнаяБаза уязвимостей БДУ → BDU:2022-03019
10критическая

BDU:2022-03019 (CVE-2022-23614)

Уязвимость компилирующего обработчика шаблонов Twig, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2022-05-18
Описание

Уязвимость компилирующего обработчика шаблонов Twig существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в результате запуска определённых php-функций

Затрагиваемое ПО и версии
Fedora (34)Fedora (35)РЕД ОС (7.3)Twig (от 2.0.0 до 2.14.11)Twig (от 3.0.0 до 3.3.8)Debian GNU/Linux (до 2.14.3-1+deb11u1)
Способ устранения

Использование рекомендаций производителя:
Для Twig:
https://github.com/twigphp/Twig/commit/22b9dc3c03ee66d7e21d9ed2ca76052b134cb9e9
https://github.com/twigphp/Twig/commit/2eb33080558611201b55079d07ac88f207b466d5

Для Debian GNU/Linux:
https://www.debian.org/security/2022/dsa-5107

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I2PVV5DUTRUECTIHMTWRI5Z7DVNYQ2YO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OTN4273U4RHVIXED64T7DSMJ3VYTPRE7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PECHIY2XLWUH2WLCNPDGNFMPHPRPCEDZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SIGZCFSYLPP7UVJ4E4NLHSOQSKYNXSAD/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-23614https://www.debian.org/security/2022/dsa-5107https://github.com/twigphp/Twig/commit/22b9dc3c03ee66d7e21d9ed2ca76052b134cb9e9https://github.com/twigphp/Twig/commit/2eb33080558611201b55079d07ac88f207b466d5https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I2PVV5DUTRUECTIHMTWRI5Z7DVNYQ2YO/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OTN4273U4RHVIXED64T7DSMJ3VYTPRE7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PECHIY2XLWUH2WLCNPDGNFMPHPRPCEDZ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SIGZCFSYLPP7UVJ4E4NLHSOQSKYNXSAD/
Проверьте безопасность своего сайта и почты → Полная проверка домена