cve - 2021 - 41268:记住我密码更改后cookie持久性

2021年11月24日·发表的《阿凡达》的法比安效力法比安效力

描述

返工后记得我饼干在Symfony 5.3中,饼干不失效了当用户更改其密码。ob娱乐下载

攻击者可以因此维持他们访问帐户,即使密码更改,只要他们有机会登录一次,得到一个有效记得我饼干。

决议

ob娱乐下载Symfony现在密码默认签名的一部分。那样,当密码更改饼干是不再有效。

这个问题是可用的补丁在这里5.3分支。

学分

我们要感谢鲍特Decherit报告的问题和Wouter J修复这个问题。

发表在#安全警告

发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝官网下载app是最常见的方式,但我们也有一个广泛的赞助机会

评论

评论都关门了。

以确保评论保持相关,他们关闭了旧的帖子。