„`html
Zusammenfassung
CVE-2026-24425 ist eine kritische Sandbox-Bypass-Schwachstelle in Twig, einem weit verbreiteten Template-Engine für PHP. Die Lücke ermöglicht es Angreifern mit Template-Rendering-Capabilities, beliebige PHP-Callables über die Filter sort, filter, map und reduce auszuführen und damit die Sandbox-Sicherheitseinschränkungen zu umgehen.
Betroffene Systeme
Folgende Twig-Versionen sind betroffen:
- Alle Versionen der 2.16.x-Serie
- Versionen 3.9.0 bis 3.25.x
Besonders kritisch sind Systeme, die eine SourcePolicyInterface zur Sandbox-Aktivierung nutzen statt einer globalen Sandbox-Konfiguration. Dies betrifft insbesondere CMS-Systeme und Web-Anwendungen, die Benutzern das Erstellen von Templates ermöglichen.
Technische Details
Die Schwachstelle liegt in der unzureichenden Validierung von benutzerdefinierten Callables in den genannten Filtern. Das Runtime-Check-System versäumt es, die aktuelle Template-Source zu überprüfen, wenn eine SourcePolicyInterface konfiguriert ist. Angreifer können dadurch beliebige PHP-Funktionen oder Methoden über folgende Angriffsvektor einschleusen:
{{ array | sort(callable) }}{{ array | filter(callable) }}{{ array | map(callable) }}{{ array | reduce(callable) }}
Dies ermöglicht Remote Code Execution (RCE) mit den Berechtigungen der Web-Anwendung.
Empfohlene Massnahmen
Sofortmassnahmen:
- Update auf eine gepatchte Version durchführen, sobald verfügbar
- Benutzer-Templates einschränken: Deaktivieren Sie Benutzer-generierte Templates
- Sandbox deaktivieren: Falls nicht essentiell, Sandbox komplett deaktivieren und durch andere Mechanismen ersetzen
- Input-Validierung verschärfen: Alle Template-Eingaben streng validieren
Monitoring: Logs auf verdächtige Filteraufrufe mit ungewöhnlichen Callables überwachen.
Bewertung
Mit einem CVSS-Score von 8.8 handelt es sich um eine hochgradige Schwachstelle. Die fehlende Patch-Verfügbarkeit erhöht die Dringlichkeit. Betroffene Organisationen sollten sofort Gegenmaßnahmen ergreifen und den Patch-Status kontinuierlich überwachen.
„`