cve - 2022 - 24895: CSRF牌固定

2023年2月1日·发表的《阿凡达》的法比安效力法比安效力

影响版本

ob娱乐下载Symfony > = 2.0.0版本,< 4.4.50,> = 5.0.0 0 < 5.4.20,> =,< 6.0.20上,> = 6.1.0 < 6.1.12,> = 6.2.0 < 6.2.6 Symfony的安全包受此影响安全问题。

这个问题已经固定在Symfony 4.4.50, 5.4ob娱乐下载.20, 6.1.12, 6.2.6 6.0.20上。所有其他版本都不再维护。

描述

当用户身份验证,Symfony再生会话ID在登录时默认ob娱乐下载情况下,但保存的会话属性。因为这并不清楚CSRF令牌在登录时,这可能会使同一地点攻击者绕过CSRF保护机制通过执行类似于会话固定攻击。

决议

ob娱乐下载Symfony会删除所有CSRF从会话令牌在成功登录。

这个问题是可用的补丁在这里4.4分支。

学分

我们想感谢马可Squarcina报告问题和尼古拉斯Grekas修复它。

发表在#安全警告

发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝官网下载app是最常见的方式,但我们也有一个广泛的赞助机会

评论

评论都关门了。

以确保评论保持相关,他们关闭了旧的帖子。