cve - 2020 - 5275:所有需要“access_control”规则当防火墙使用一致的策略

影响版本

ob娱乐下载Symfony 4.4.0 4.4.6, 5.0.0 5.0.6版本的Symfony ErrorHandler组件受此影响安全问题。

这个问题已经固定在Symfony 4.4.7 5.0.7ob娱乐下载。

描述

在Syob娱乐下载mfony 4.4.0之前,当一个防火墙检查访问控制规则(使用一致的策略),它遍历所有属性和授权访问只有在规则所有调用accessDecisionManager决定授予访问权限。

Symfonob娱乐下载y 4.4.0,引入了一个错误,防止检查尽快的属性accessDecisionManager决定授权访问一个属性。

决议

的accessDecisionManager现在被称为与所有属性,允许一致策略被应用于每个属性。

这个问题是可用的补丁在这里4.4分支。

学分

我要感谢安东尼奥·j·加西亚Lagar报告&罗宾Chalas解决这个问题。