【高危】- PHP Smarty 模版沙箱逃逸漏洞预警(CVE-2021-26119/CVE-2021-26120)
■ 漏洞描述
CVE-2021-26120是由于Smarty暴露了template_object属性,攻击者可利用该漏洞获得权限的情况下,构造恶意数据,最终造成远程代码执行。
■ 影响范围
Smarty<=3.1.38
■ 漏洞检测
匹配组件版本
■ 漏洞修复
更新升级到最新版本。链接如下:
https://github.com/smarty-php/smarty/blob/master/CHANGELOG.md
■ 临时修复
web服务限制内网访问或增加waf
■ 漏洞详情
https://mp.weixin.qq.com/s/06TG-le2Ic5igecgFobtAg
CVE-2021-26120是由于Smarty暴露了template_object属性,攻击者可利用该漏洞获得权限的情况下,构造恶意数据,最终造成远程代码执行。
■ 影响范围
Smarty<=3.1.38
■ 漏洞检测
匹配组件版本
■ 漏洞修复
更新升级到最新版本。链接如下:
https://github.com/smarty-php/smarty/blob/master/CHANGELOG.md
■ 临时修复
web服务限制内网访问或增加waf
■ 漏洞详情
https://mp.weixin.qq.com/s/06TG-le2Ic5igecgFobtAg