Sensio赞助实验室
菜单

CVE-2019-10910:检查服务id是否有效

2019年4月17日·发表的Fabien Potencier的化身法比安效力

影响版本

ob娱乐下载Symfony 2.7.0至2.7.50、2.8.0至2.8.49、3.4.0至3.4.25、4.1.0至4.1.11和4.2.0至4.2.6版本的依赖注入组件受此安全问题影响。

该问题已在Symfony 2.7.51, 2.8.50,ob娱乐下载 3.4.26, 4.1.12和4.2.7中修复。

注意,没有为Symfony 3.0、3.1、3.2、3.3和4.0提供修ob娱乐下载复,因为它们不再被维护。

描述

从未经过滤的用户输入派生的服务id可能导致任意代码的执行,从而可能导致远程代码执行。

决议

在设置别名或服务时,我们都确认id不包含某些字符,并且在转储时转义了id。

针对此问题的补丁已经可用在这里对于分支3.4。

学分

我要感谢Nicolas Grekas报告并修复了这个问题。

发表在安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档是最常欧宝官网下载app见的帮助方式,但我们也有广泛的赞助机会

评论

评论截止。

为了确保评论保持相关性,旧帖子将被关闭。