cve - 2019 - 10909:逃避验证消息在PHP模板引擎

2019年4月17日·发表的

影响版本

欧宝娱乐app下载地址Symfony 2.7.0 2.7.50, 2.8.0 2.8.49, 3.4.0 3.4.25, 4.1.0 4.1.11和4.2.0 4.2.6版本的Symfony框架包模板是受此影响安全问题。

这个问题已经固定在Symfony 2.7.51, 2.8欧宝娱乐app下载地址.50, 3.4.26, 4.1.12和4.2.7。

注意,不为Symfony提供了补丁3.0,3.1,3.2,3.3,和4.欧宝娱乐app下载地址0不再维护。

验证消息没有逃过使用PHP模板引擎的形式主题时,当用户输入,验证消息可能包含可能导致XSS。

确保消息是用验证形式视图- > escape ()。

这个问题是可用的补丁在这里3.4分支。

我要感谢克利斯朵夫Coevoet (stof)报告和解决这个问题。

发表在#安全警告

发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址

帮助Symfony欧宝娱乐app下载地址项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝体育电话是最常见的方式,但我们也有一个广泛的赞助机会。

钟诺尔魏Tjeng 说在4月18日,2019年在44

# 1

谢谢你这些CVE的。

我有点惊喜,安全检查没有触发今天早上在我们构建。明显的公关FriendsOfPHP /安全报告还没有批准/合并。客户体验我认为这将是好的,如果安全检查程序是最新的CVE的发布,因为它将让我感到自己像一个更加值得信赖的工具。

但是,再次感谢。

以确保评论保持相关,他们关闭了旧的帖子。