cve - 2021 - 32693:认证授予所有防火墙而不是一个
2021年6月17日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony > = 5.3.0 < 5.3.2版本的Symfony安全HTTP组件是受此影响安全问题。
这个问题已经在Symfony 5.3.2固定。欧宝娱乐app下载地址
描述
当应用程序定义了多个防火墙,防火墙的身份验证令牌由一个可用于所有其他防火墙。这可以滥用当应用程序定义了应用程序的不同部分不同的提供者。在这种情况下,一个用户身份验证应用程序的一部分被认为是对整个应用程序验证。
我们现在确保认证令牌只用于生成它的防火墙。
这个问题是可用的补丁在这里5.3分支。
学分
我要感谢Bogdan, gndk PawełWarchoł,Warxcell,阿德里安·可能报告的问题和Wouter J修复这个问题。
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。