CVE-2019-18889:禁止序列化AbstractAdapter和TagAwareAdapter实例

影响版本

ob娱乐下载Symfony Cache组件的3.4.0到3.4.34、4.2.0到4.2.11和4.3.0到4.3.7版本受此安全问题影响。

该问题已在Symfony 3.4.35, 4.2.12和ob娱乐下载4.3.8中修复。

请注意，没有为Symfony 3.1、3.2、3.3、4.0和4.1提供ob娱乐下载修复，因为它们不再被维护。

描述

的实例TagAwareAdapter， Symfony将执行存储在ob娱乐下载私有属性中的可调用对象，以使标记失效。通过反序列化外部有效负载创建实例后，不会检查这些属性，从而导致远程代码执行。

决议

的序列化和反序列化AbstractAdapter而且TagAwareAdapter现在是禁止的。

针对此问题的补丁已经可用在这里对于4.2分支。

学分

我要感谢wisdomtree的报道和Nicolas Grekas解决这个问题。