Sensio赞助实验室
菜单

CVE-2019-10909:转义PHP模板引擎中的验证消息

2019年4月17日·发表的Fabien Potencier的化身法比安效力

影响版本

ob娱乐下载Symfony 2.7.0到2.7.50、2.8.0到2.8.49、3.4.0到3.4.25、4.1.0到4.1.11和4.2.0到4.2.6版本的Symfony Framework Bundle模板受此安全问题影响。

该问题已在Symfony 2.7.51, 2.8.50,ob娱乐下载 3.4.26, 4.1.12和4.2.7中修复。

注意,没有为Symfony 3.0、3.1、3.2、3.3和4.0提供修ob娱乐下载复,因为它们不再被维护。

描述

当使用PHP模板引擎的表单主题时,验证消息没有转义,当验证消息可能包含用户输入时,可能会导致XSS。

决议

确保验证表单消息使用视图- > escape ()

针对此问题的补丁已经可用在这里对于分支3.4。

学分

我要感谢Christophe Coevoet (stof)报道并修复了这个问题。

发表在安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档是最常欧宝官网下载app见的帮助方式,但我们也有广泛的赞助机会

评论

仲维曾的化身
郑仲伟 2019年4月18日说
# 1
谢谢你的这些CVE。

我有点惊讶,在我们今天早上的夜间构建中,安全检查程序没有被触发。显然,FriendsOfPHP/security-advisories中的PR还没有被批准/合并。对于客户体验,我认为在CVE发布时,如果安全检查器是最新的,那将是很好的,因为这让它感觉是一个更值得信赖的工具。

不过,还是要再次谢谢你。

评论截止。

为了确保评论保持相关性,旧帖子将被关闭。