Grav是一个基于PHP的文件型Web平台。该平台存在服务器端模板注入（SSTI）漏洞。修复在提交'71bbed1'中实现的使用“|map”、“|filter”和“|reduce” Twig的另一个SSTI漏洞，因为'isDangerousFunction（）'的返回值不正确导致绕过拒绝列表，允许在负载中添加双反斜杠 ('\\')。 从版本1.7.42开始，'isDangerousFunction（）'检查在$name中发现'\'符号时，返回false值而不是true。如果攻击者有以下任一访问权限中的任何一个，均可利用此漏洞：1.管理员帐户，或2.具有管理员面板访问和创建/更新页面许可的非管理员用户帐户。此漏洞的修复已在提交'b4c6210'中引入，并包含在发布版本'1.7.42.2'中。建议用户升级。此漏洞无已知解决方法。