CVE-2020-15094:使用CachingHttpClient调用不受信任的远程时防止RCE

影响版本

ob娱乐下载Symfony HttpClient组件的4.3、4.4.0到4.4.12、5.0和5.1.0到5.1.4版本受此安全问题影响。

该问题已在Symfony 4.4.13和5.1.5中修复ob娱乐下载。ob娱乐下载Symfony 4.3和5.0不会被打补丁，因为它们不再被维护。

描述

的CachingHttpClientHttpClient Symfony组件中的类依赖于ob娱乐下载HttpCache类来处理请求。HttpCache使用内部头文件，如X-Body-Eval而且X-Body-File控制缓存响应的恢复。最初编写该类时考虑了代理缓存和ESI支持(在该场景中，所有HTTP调用都来自可信后端)。但是当被CachingHttpClient攻击者是否可以控制请求的响应CachingHttpClient，可以远程执行代码。

决议

为内部使用而设计的HTTP报头HttpCache现在在被传递到之前从远程响应中剥离HttpCache．

针对此问题的补丁已经可用在这里对于4.4分支。

学分

我要感谢Matthias Pigulla (webfactory GmbH)报告并解决了这个问题。