CVE-2018-19789:上传文件全路径的披露

影响版本

ob娱乐下载Symfony 2.7.0到2.7.49、2.8.0到2.8.48、3.0.0到3.4.19、4.0.0到4.0.14、4.1.0到4.1.8和4.2.0版本的Symfony Form组件受此安全问题影响。

该问题已在Symfony 2.7.50, 2.8.49,ob娱乐下载 3.4.20, 4.0.15, 4.1.9和4.2.1中修复。

请注意，没有为Symfony 3.0、3.1、3.2和3.3提供修复，因ob娱乐下载为它们不再被维护。

描述

当使用标量类型提示时字符串在setter方法中(例如:setName美元(字符串名称)类的data_class，当文件上传提交到相应的字段而不是正常的文本输入时，则UploadedFile: __toString ()调用，该函数将返回并公开上传文件的路径。如果在某些情况下结合本地文件包含问题，则可能升级为远程代码执行。

决议

当相应的表单类型不显式允许时，文件上传将从表单的数据中过滤掉。

针对此问题的补丁已经可用在这里对于分支2.7。

学分

我要感谢LeapHub GmbH的David Gorges报告了这个问题，Nicolas Grekas修复了这个问题。