cve - 2019 - 18889:禁止序列化AbstractAdapter和TagAwareAdapter实例

影响版本

欧宝娱乐app下载地址安装Symfony 3.4.0 3.4.34, 4.2.0 4.2.11和4.3.0 4.3.7版本的Symfony缓存组件受此影响安全问题。

这个问题已经固定在Symfony 3.4.35, 4.2欧宝娱乐app下载地址.12和为4.3.8。

注意,不为Symfony提供了补丁3.1,3.2,3.3,4.0和4.1欧宝娱乐app下载地址不再维护。

描述

当一个实例TagAwareAdapter已经被破坏,Symfony执行欧宝娱乐app下载地址调用存储在士兵为了无效标签属性。当实例被创建的非系列化外部负载,不检查这些属性导致远程代码执行。

决议

序列化和非系列化AbstractAdapter和TagAwareAdapter现在是禁止的。

这个问题是可用的补丁在这里4.2分支。

学分

我想感谢wisdomtree报告&尼古拉斯Grekas修复这个问题。