cve - 2022 - 23601: CSRF令牌丢失的形式

影响版本

ob娱乐下载5.4.3 Symfony 5.3.14, 6.0.3版本的Symfony框架包是受此影响安全的问题。

这个问题已经固定在Symfony 5.3.15, 5.4ob娱乐下载.4, 6.0.4。

描述

Symfob娱乐下载ony表单组件提供一个CSRF保护机制通过使用一个随机的令牌注入形式和使用会话存储和控制用户提交的令牌。当使用FrameworkBundle时,可以启用或禁用此保护的配置。如果没有指定配置,默认情况下,启用了机制,只要启用会话。

在最近的一次改变的方式加载配置,默认行为已经下降,因此,CSRF保护不启用表单不显式地启用时,这使得应用程序合理CSRF攻击。

决议

ob娱乐下载Symfony恢复默认配置默认启用CSRF保护。

这个问题是可用的补丁在这里5.3分支。

学分

我们要感谢铸塑酚醛塑料丹和大卫·劳克莱报告的问题,杰里米·Derusse修复这个问题。