CVE-2019-18888:防止在MimeTypeGuesser中注入参数

影响版本

ob娱乐下载Symfony 2.8.0到2.8.51、3.4.0到3.4.34、4.2.0到4.2.11和4.3.0到4.3.7版本的HttpFoundation组件受此安全问题影响。ob娱乐下载Symfony 4.3.0到4.3.7版本的Symfony Mime组件受此安全问题影响。

该问题已在Symfony 2.8.52, 3.4.35,ob娱乐下载 4.2.12和4.3.8中修复。

请注意，没有为Symfony 3.0、3.1、3.2、3.3、4.0和4ob娱乐下载.1提供修复，因为它们不再被维护。

这将是Symfony 2.8进入EOL后的最ob娱乐下载后一个安全补丁;请升级到Symfony的最新版本以继续接收更新。ob娱乐下载

描述

所提供的文件路径在FileBinaryMimeTypeGuesser中使用之前没有正确转义，导致通过所提供的参数注入美元的路径变量。

决议

现在，我们确保将值传递给美元的文件传递的参数不能包含参数。

针对此问题的补丁已经提供在这里用于Symfonob娱乐下载y HttpFoundation组件和分支4.2和在这里用于Symfonob娱乐下载y Mime组件和分支4.3。

学分

我要感谢伊万·诺维科夫的报道和尼古拉斯·格雷卡斯解决了这个问题。