Se publican varias actualizaciones Symfony de seguridad

El proyecto Symfony ha anunciado el descubrimiento de varios problemas de seguridad que potencialmente podrían introducir vulnerabilidades en tus aplicaciones. Pincha cada enlace para conocer más detalles técnicos sobre cada una de ellas:

  • CVE-2017-16790: afecta al componente Form en Symfony 2.7, 2.8, 3.2 y 3.3. Cuando se permiten subir archivos mediante un formulario, un usuario malicioso podría engañar a la aplicación para que le sirva cualquier archivo del servidor.
  • CVE-2017-16654: afecta al componente Intl en Symfony 2.7, 2.8, 3.2 y 3.3. El argumento $locale del método read() es vulnerable porque permite añadir ../ a su valor para acceder a cualquier directorio.
  • CVE-2017-16652: afecta al componente Security en Symfony 2.7, 2.8, 3.2 y 3.3. El valor del parámetro _target_path en DefaultAuthenticationSuccessHandler y DefaultAuthenticationFailureHandler no se comprueba, por lo que un usuario malicioso podría redirigir a sitios externos.
  • CVE-2017-16653: afecta al componente Security en Symfony 2.7, 2.8, 3.2 y 3.3. La protección frente a ataques CSRF no usaba diferentes tokens para HTTP y HTTPS, lo que la hace vulnerable a ataques de tipo man in the middle.

Toda las vulnerabilidades han sido resueltas en las nuevas versiones de Symfony publicadas después de estos anuncios. Puedes obtener más información sobre la política de seguridad de Symfony en symfony.com/securit.

Comentarios

Compartir en

Publicada el

20 de noviembre de 2017

Etiquetas

Proyectos Symfony destacados

La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más

Descargas totales de Symfony

1.069.955.393

Ver descargas en tiempo real

Síguenos en @symfony_es para acceder a las últimas noticias.