Se publican varias actualizaciones Symfony de seguridad
El proyecto Symfony ha anunciado el descubrimiento de varios problemas de seguridad que potencialmente podrían introducir vulnerabilidades en tus aplicaciones. Pincha cada enlace para conocer más detalles técnicos sobre cada una de ellas:
- CVE-2017-16790: afecta al componente Form en Symfony 2.7, 2.8, 3.2 y 3.3. Cuando se permiten subir archivos mediante un formulario, un usuario malicioso podría engañar a la aplicación para que le sirva cualquier archivo del servidor.
- CVE-2017-16654: afecta al componente Intl en Symfony 2.7, 2.8, 3.2 y 3.3.
El argumento
$localedel métodoread()es vulnerable porque permite añadir../a su valor para acceder a cualquier directorio. - CVE-2017-16652: afecta al componente Security en Symfony 2.7, 2.8, 3.2 y 3.3.
El valor del parámetro
_target_pathenDefaultAuthenticationSuccessHandleryDefaultAuthenticationFailureHandlerno se comprueba, por lo que un usuario malicioso podría redirigir a sitios externos. - CVE-2017-16653: afecta al componente Security en Symfony 2.7, 2.8, 3.2 y 3.3. La protección frente a ataques CSRF no usaba diferentes tokens para HTTP y HTTPS, lo que la hace vulnerable a ataques de tipo man in the middle.
Toda las vulnerabilidades han sido resueltas en las nuevas versiones de Symfony publicadas después de estos anuncios. Puedes obtener más información sobre la política de seguridad de Symfony en symfony.com/securit.
Comentarios
Proyectos Symfony destacados
La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.