このウェブページスクリーンショットから、脆弱性に関する以下の主要な情報を取得できます。 1. 脆弱性名称:TwigにおけるContext関数の利用によるサーバーサイドテンプレートインジェクション 2. 深刻度:High (8.3 / 10) 3. 影響を受けるバージョン: - shopware/core (Composer):= 6.6.0.0 = 6.6.0.0 <= 6.6.5.0 4. 修正バージョン: - shopware/core (Composer):6.5.8.13, 6.6.5.1 - shopware/platform (Composer):6.5.8.13, 6.6.5.1 5. 説明: - 変数はほぼすべてのTwigテンプレートに注入され、現在の言語や通貨情報にアクセスすることを許可します。 - オブジェクトは、短い期間ながら、 を呼び出し可能な関数の補足として切り替えることも可能です。 - PHPからの呼び出し例: 6. 影響: - この関数はTwigから呼び出され、2番目のパラメータに任意の呼び出し可能な関数を指定できるため、任意の静的に呼び出し可能なPHP関数やメソッドを呼び出すことができます。 - クライアントはTwigコードを提供できません。攻撃者は、メールテンプレートやAppスクリプトを利用することで管理権限にアクセスする必要があるため、その権限を持って初めてこれを悪用できます。 7. パッチ: - Shopware 6.6.5.1 または 6.5.8.13 に更新します。 8. 回避策: - 6.1、6.2、6.3、6.4 のような旧バージョンでは、プラグインを通じて適切な対策措置を提供することができます。最新のShopwareバージョンへの更新を推奨します。 これらの情報は、脆弱性の性質、影響範囲、およびその修正または回避方法を理解するのに役立ちます。