CVE-2019-18886:阻止使用交换机用户功能的用户枚举

2019年11月13日·发表的

影响版本

ob娱乐下载Symfony 4.2.0到4.2.11和4.3.0到4.3.7版本的安全/Http组件受此安全问题影响。

该问题已在Symfony 4.2.12和4.3.8中修复ob娱乐下载。

注意，没有为Symfony 4.1提供修复，因为它们不再被维护。ob娱乐下载

在尝试使用switch用户功能时，由于根据用户是否存在而进行不同的处理，因此可以在没有相关权限的情况下枚举用户。

现在，如果用户不能切换到用户，或者用户不存在，则无论用户是否存在，都将返回403。

针对此问题的补丁已经可用在这里对于4.2分支。

我要感谢Matt Daum的报道和Nicolas Grekas解决这个问题。

发表在＃安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样，贡献代码或文档是最常欧宝官网下载app见的帮助方式，但我们也有广泛的赞助机会．

为了确保评论保持相关性，旧帖子将被关闭。