CVE-2022-23601:表单中缺少CSRF令牌

影响版本

ob娱乐下载Symfony 5.3.14、5.4.3和6.0.3版本的Symfony框架包受此安全问题影响。

该问题已在Symfony 5.3.15、5.4.4和6.ob娱乐下载0.4中修复。

描述

Symfob娱乐下载ony表单组件通过使用在表单中注入的随机令牌并使用会话存储和控制用户提交的令牌来提供CSRF保护机制。当使用FrameworkBundle时，可以通过配置启用或禁用这种保护。如果未指定配置，默认情况下，只要会话启用，该机制就启用。

在最近对配置加载方式进行的更改中，默认行为已被删除，因此，在没有显式启用CSRF保护时，不会在形式上启用CSRF保护，这使得应用程序对CSRF攻击敏感。

决议

ob娱乐下载Symfony恢复默认配置，默认启用CSRF保护。

针对此问题的补丁已经可用在这里5.3分支。

学分

我们要感谢Catalin Dan和David Lochner报告这个问题，并感谢Jérémy Derussé修复这个问题。