CVE-2019-10912:防止具有副作用的析构函数被反序列化

影响版本

ob娱乐下载Symfony Cache组件的2.8.0至2.8.49、3.4.0至3.4.25、4.1.0至4.1.11和4.2.0至4.2.6版本受此安全问题影响。

该问题已在Symfony 2.8.50, 3.4.26,ob娱乐下载 4.1.12和4.2.7中修复。

请注意，没有为Symfony 3.0、3.1、3.2、3.3和4.0提供ob娱乐下载修复，因为它们不再被维护，2.7不受影响。

描述

当unserialize ()调用来自用户输入的内容时，则可以使用恶意有效负载触发文件删除或显示原始输出。

决议

我们现在阻止一些类被序列化或非序列化。

针对此问题的补丁已经可用在这里对于分支3.4。

学分

我要感谢Mindaugas Vedegys报告这个问题和Nicolas Grekas修复这个问题。