cve - 2019 - 18889:禁止序列化AbstractAdapter和TagAwareAdapter实例
2019年11月13日·发表的法比安效力
影响版本
欧宝娱乐app下载地址安装Symfony 3.4.0 3.4.34, 4.2.0 4.2.11和4.3.0 4.3.7版本的Symfony缓存组件受此影响安全问题。
这个问题已经固定在Symfony 3.4.35, 4.2欧宝娱乐app下载地址.12和为4.3.8。
注意,不为Symfony提供了补丁3.1,3.2,3.3,4.0和4.1欧宝娱乐app下载地址不再维护。
描述
当一个实例TagAwareAdapter
已经被破坏,Symfony执行欧宝娱乐app下载地址调用存储在士兵为了无效标签属性。当实例被创建的非系列化外部负载,不检查这些属性导致远程代码执行。
决议
序列化和非系列化AbstractAdapter
和TagAwareAdapter
现在是禁止的。
这个问题是可用的补丁在这里4.2分支。
学分
我想感谢wisdomtree报告&尼古拉斯Grekas修复这个问题。
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。