Python Liquid is a Python engine for the Liquid template language. Prior to 2.2.0, the built-in FileSystemLoader and CachingFileSystemLoader do not guard against reading files outside their search paths when given an absolute path to resolve. This allows malicious template authors to load and render arbitrary files via the {% include %} and {% render %} tags. Targeted files would need to contain valid Liquid markup and be readable by the application process. This vulnerability is fixed in 2.2.0.
Python Liquid versions before 2.2.0 allow path traversal attacks through FileSystemLoader and CachingFileSystemLoader, enabling malicious template authors to read arbitrary files via include and render tags. Organizations using vulnerable versions risk unauthorized file disclosure if template content is user-controlled or insufficiently validated.
يحتوي Python Liquid على ثغرة اجتياز مسار في فئات FileSystemLoader و CachingFileSystemLoader تسمح بقراءة الملفات خارج مسارات البحث المحددة عند توفير مسار مطلق. يمكن للمهاجمين استخدام علامات {% include %} و {% render %} لتحميل وعرض ملفات عشوائية على النظام، مما يؤدي إلى كشف البيانات الحساسة.
إصدارات Python Liquid السابقة للإصدار 2.2.0 تسمح بهجمات اجتياز المسار عبر FileSystemLoader و CachingFileSystemLoader، مما يمكّن مؤلفي القوالب الضارين من قراءة ملفات عشوائية. المنظمات التي تستخدم الإصدارات الضعيفة تواجه خطر الكشف غير المصرح به عن الملفات.
Upgrade Python Liquid to version 2.2.0 or later immediately. Implement strict input validation for template paths, avoid using absolute paths in template resolution, restrict template directory access permissions, and apply principle of least privilege to application processes. Monitor template rendering logs for suspicious file access patterns.
قم بترقية Python Liquid إلى الإصدار 2.2.0 أو أحدث فوراً. طبّق التحقق الصارم من صحة مسارات القوالب، تجنب استخدام المسارات المطلقة في حل القوالب، قيّد صلاحيات الوصول لدليل القوالب، وطبّق مبدأ أقل صلاحية للعمليات. راقب سجلات عرض القوالب للكشف عن أنماط وصول الملفات المريبة.