cve - 2018 - 19790:开放的脆弱性在使用安全\ Http重定向

2018年12月6日·发表的

影响版本

ob娱乐下载Symfony 2.7.0 2.7.49, 2.8.0 2.8.48, 3.0.0 3.4.19, 4.0.0 4.0.14, 4.1.0 4.1.8和4.2.0版本的Symfony表单组件受此影响安全问题。

这个问题已经固定在Symfony 2.7.50, 2.8ob娱乐下载.49, 3.4.20, 4.0.15 4.1.9和4.2.1。准备

注意,不为Symfony提供了补丁3.0,3.1,3.2和3.3不再维护ob娱乐下载。

使用反斜杠_failure_path登录表单输入字段,可以工作在重定向目标限制和有效地将用户重定向到登录后任何域。

正则表达式过滤重定向目标已经更新占向前和向后的斜杠。

这个问题是可用的补丁在这里2.7分支。

我要感谢EC-CUBE Dev团队报告的问题和基督教弗洛特曼修复它。

发表在#安全警告

发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝官网下载app是最常见的方式,但我们也有一个广泛的赞助机会。

马修·史密兹 说12月6日,2018年在32

# 1

有用的信息,通过激活登录配置中的always_use_default_target_path你积极将缓解这个问题登录(在旧的Symfony版本),当它被设置为true的重定向登录总是会转发到/ob娱乐下载

杰森谭 说12月10日,2018年在20:28

# 2

这篇文章是指Symfony组件形式,但它应该是安ob娱乐下载全组件,对吧?

以确保评论保持相关,他们关闭了旧的帖子。