cve - 2019 - 18888:防止MimeTypeGuesser参数注入
2019年11月13日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony 2.8.0 2.8.51, 3.4.0 3.4.34,安装4.2.0 4.2.11和4.3.0 4.3.7版本的Symfony HttpFoundation组件受此影响安全问题。欧宝娱乐app下载地址Symfony Mime组件的安装Symfony 4.3.0 4.3.7版本是受此影响安全问题。
这个问题已经固定在Symfony 2.8.52, 3.4欧宝娱乐app下载地址.35, 4.2.12和为4.3.8。
注意,不为Symfony提供了补丁3.0,3.1,3.2,3.3,4.0欧宝娱乐app下载地址和4.1不再维护。
这将是最后一个Symfony 2.8安全修复欧宝娱乐app下载地址在进入生物;请升级到最新版本的Symfony继续接收更新。欧宝娱乐app下载地址
描述
提供文件路径没有正确逃脱之前被用于FileBinaryMimeTypeGuesser导致潜在的通过提供参数注入美元的路径
变量。
决议
我们现在保证值传递给美元的文件
不能包含参数传递。
这个问题可用的补丁在这里4.2和Symf欧宝娱乐app下载地址ony HttpFoundation组件和分支在这里Symfony的欧宝娱乐app下载地址Mime部分和分支4.3。
学分
我想感谢伊万·诺维科夫先生报告&尼古拉斯Grekas修复这个问题。
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
jeremyFreeAgent
说在11月13日,2019年在14:30
# 1
谢谢!
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。