cve - 2019 - 10909:逃避验证消息在PHP模板引擎
2019年4月17日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony 2.7.0 2.7.50, 2.8.0 2.8.49, 3.4.0 3.4.25, 4.1.0 4.1.11和4.2.0 4.2.6版本的Symfony框架包模板是受此影响安全问题。
这个问题已经固定在Symfony 2.7.51, 2.8欧宝娱乐app下载地址.50, 3.4.26, 4.1.12和4.2.7。
注意,不为Symfony提供了补丁3.0,3.1,3.2,3.3,和4.欧宝娱乐app下载地址0不再维护。
描述
验证消息没有逃过使用PHP模板引擎的形式主题时,当用户输入,验证消息可能包含可能导致XSS。
决议
确保消息是用验证形式视图- > escape ()
。
这个问题是可用的补丁在这里3.4分支。
学分
我要感谢克利斯朵夫Coevoet (stof)报告和解决这个问题。
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。
我有点惊喜,安全检查没有触发今天早上在我们构建。明显的公关FriendsOfPHP /安全报告还没有批准/合并。客户体验我认为这将是好的,如果安全检查程序是最新的CVE的发布,因为它将让我感到自己像一个更加值得信赖的工具。
但是,再次感谢。