As atualizações anunciadas para o Drupal esta semana abordam uma vulnerabilidade grave no Twig que pode levar ao vazamento de informações confidenciais.

O Drupal é um sistema de gerenciamento de conteúdo Web de código aberto baseado em PHP que usa o Twig como seu mecanismo de modelagem padrão desde o Drupal 8, lançado pela primeira vez em novembro de 2015.

Rastreada como CVE-2022-39261, a vulnerabilidade pode permitir que um invasor carregue modelos fora de um diretório configurado, por meio do carregador do sistema de arquivos.

A vulnerabilidade recebeu uma classificação de gravidade ‘alta’ ou ‘crítica’ com base no sistema de pontuação usado pelo Drupal.

Twig corrigiu a falha com o lançamento das versões 1.44.7, 2.15.3 e 3.4.3. “Várias vulnerabilidades são possíveis se um usuário não confiável tiver acesso para escrever código Twig, incluindo potencial acesso de leitura não autorizado a arquivos privados, o conteúdo de outros arquivos no servidor ou credenciais de banco de dados”, observa Drupal em um comunicado.