cve - 2019 - 18888:防止MimeTypeGuesser参数注入

影响版本

欧宝娱乐app下载地址Symfony 2.8.0 2.8.51, 3.4.0 3.4.34,安装4.2.0 4.2.11和4.3.0 4.3.7版本的Symfony HttpFoundation组件受此影响安全问题。欧宝娱乐app下载地址Symfony Mime组件的安装Symfony 4.3.0 4.3.7版本是受此影响安全问题。

这个问题已经固定在Symfony 2.8.52, 3.4欧宝娱乐app下载地址.35, 4.2.12和为4.3.8。

注意,不为Symfony提供了补丁3.0,3.1,3.2,3.3,4.0欧宝娱乐app下载地址和4.1不再维护。

这将是最后一个Symfony 2.8安全修复欧宝娱乐app下载地址在进入生物;请升级到最新版本的Symfony继续接收更新。欧宝娱乐app下载地址

描述

提供文件路径没有正确逃脱之前被用于FileBinaryMimeTypeGuesser导致潜在的通过提供参数注入美元的路径变量。

决议

我们现在保证值传递给美元的文件不能包含参数传递。

这个问题可用的补丁在这里4.2和Symf欧宝娱乐app下载地址ony HttpFoundation组件和分支在这里Symfony的欧宝娱乐app下载地址Mime部分和分支4.3。

学分

我想感谢伊万·诺维科夫先生报告&尼古拉斯Grekas修复这个问题。