cve - 2021 - 32693:认证授予所有防火墙而不是一个

2021年6月17日·发表的

影响版本

欧宝娱乐app下载地址Symfony > = 5.3.0 < 5.3.2版本的Symfony安全HTTP组件是受此影响安全问题。

这个问题已经在Symfony 5.3.2固定。欧宝娱乐app下载地址

当应用程序定义了多个防火墙,防火墙的身份验证令牌由一个可用于所有其他防火墙。这可以滥用当应用程序定义了应用程序的不同部分不同的提供者。在这种情况下,一个用户身份验证应用程序的一部分被认为是对整个应用程序验证。

我们现在确保认证令牌只用于生成它的防火墙。

这个问题是可用的补丁在这里5.3分支。

我要感谢Bogdan, gndk PawełWarchoł,Warxcell,阿德里安·可能报告的问题和Wouter J修复这个问题。

发表在#安全警告

发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址

帮助Symfony欧宝娱乐app下载地址项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝体育电话是最常见的方式,但我们也有一个广泛的赞助机会。

以确保评论保持相关,他们关闭了旧的帖子。