CVE-2019-10913:拒绝无效HTTP方法重写

影响版本

ob娱乐下载Symfony 2.7.0到2.7.50、2.8.0到2.8.49、3.4.0到3.4.25、4.1.0到4.1.11和4.2.0到4.2.6版本的HttpFoundation组件受此安全问题影响。

该问题已在Symfony 2.7.51, 2.8.50,ob娱乐下载 3.4.26, 4.1.12和4.2.7中修复。

注意，没有为Symfony 3.0、3.1、3.2、3.3和4.0提供修ob娱乐下载复，因为它们不再被维护。

描述

方法，从HTTP方法本身或使用X-Http-Method-Override头文件之前作为方法返回，没有对字符串进行验证，这意味着如果不进行转义，它们可能会在危险的上下文中使用。

决议

HTTP方法现在只允许包含ASCII字母(A-Z)。

针对此问题的补丁已经可用在这里对于分支3.4。

学分

我要感谢mschop报告这个问题和Nicolas Grekas修复它。