cve - 2021 - 41267:通过X-Forwarded-Prefix和sub-request Webcache中毒

描述

当一个Symfob娱乐下载ony应用程序运行在一个代理或负载平衡器,您可以告诉Symfony寻找X-Forwarded - *HTTP头信息。HTTP头信息,不属于“trusted_headers”允许忽略列表和保护你从“缓存中毒攻击。

在Syob娱乐下载mfony 5.2中,我们添加了支持X-Forwarded-Prefix头,但这头在一些子请求访问,即使它并不是“trusted_headers”允许列表的一部分。攻击者可以利用这个机会建立请求包含一个X-Forwarded-PrefixHTTP报头,导致web缓存中毒问题。

决议

ob娱乐下载Symfony现在确保X-Forwarded-PrefixHTTP头不转发给子请求,当它不可信的。

这个问题是可用的补丁在这里5.3分支。

学分

我们要感谢儿子Sayakci报告的问题,杰里米·Derusse修复这个问题。