ob娱乐下载symfony:相对于1.2.6安全修复

按照我们的安全策略我们今天释放,symfony解决安全问题,发现相对ob娱乐下载于1.2.6 symfony核心团队。

这篇文章包含了描述变化的脆弱性和描述我们修复它。受影响的symfony都sob娱乐下载ymfony 1.2版本和1.3版本分支。

描述的脆弱性

新管理发生器可以通过配置generator.yml配置文件。创建或修改现有记录,管理发电机使用表单相关的模型类。这种形式可以通过定制形式,编辑,新部分。

的显示这些部分的条目允许重组表单字段的字段设置。如果你使用这个选项隐藏一些形式类中定义的字段,这些字段,如果不需要,你可能会认为它工作正常。它不。作为文档中所述欧宝官网下载app,你必须列出所有的表单字段显示部分。隐藏表单字段的正确方法在管理发电机类本身是扰乱他们的形式:

(php)类ArticleForm延伸BaseArticleForm{公共职能配置(){/ /安全移除is_admin字段从表单设置($ this [' is_admin ']);}}

如果不是,恶意用户可能会注入值字段为他没有正确的(因为它不会被所实现的安全措施allow_extra_fields设置的形式)。

总之,你可能受到影响,如果你使用新的管理发电机捆绑在symfony 1.2(推动或学说),删除一些表单字段ob娱乐下载显示条目的generator.yml表单部分没有取消他们在相应的表单类。

决议

的ob娱乐下载symfony 1.2.6,新管理发电机可以防止这样的问题通过自动取消隐藏字段从表单对象(而不是隐藏字段)。

如果你的影响,你可以解决这个问题:

• 升级到symfony;相对ob娱乐下载于1.2.6

• 应用补丁的symfonyob娱乐下载 1.2.5

• 编辑表单类和复位的领域你想隐藏编辑或新形式(如上显示的小例子)。

symfob娱乐下载ony的版本是基于1.2.5相对于1.2.6和只包含安全解决差异。所有其他的等待已经搬到即将到来的变化1.2.7版本编写。