Vulnerabilidades de Symfony de Symfony

Vulnerabilidad CVE-2022-24895 de Symfony. Lista CVE de fallos de seguridad de Symfony.

4 de febrero del 2023

CVE-2022-24895: Symfony es un marco PHP para aplicaciones web y de consola y un conjunto de componentes PHP reutilizables. Al autenticar a los usuarios, Symfony regenera de forma predeterminada el ID de la sesión al iniciar sesión, pero conserva el resto de los atributos de la sesión. Debido a que esto no borra los tokens CSRF al iniciar sesión, esto podría permitir a los atacantes del mismo sitio eludir el mecanismo de protección CSRF al realizar un ataque similar a una fijación de sesión. Este problema se ha solucionado en la rama 4.4.

CVE-2022-24894: El sistema de caché HTTP de Symfony actúa como un proxy inverso: almacena en caché las respuestas completas (incluidos los encabezados) y las devuelve a los clientes. En un cambio reciente en `AbstractSessionListener`, la respuesta podría contener un encabezado `Set-Cookie`. Si el sistema de caché HTTP de Symfony está habilitado, esta respuesta podría facturar almacenada y volver a los siguientes clientes. Un atacante puede usar esta vulnerabilidad para recuperar la sesión de la víctima. Este problema se ha corregido y está disponible para la rama 4.4.

https://github.com/symfony/symfony/commit/d2f6322af9444ac5cd1ef3ac6f280dbef7f9d1fb

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-06. Fecha publicación el 2023-02-06. Autor: Oscar olg Mapa del sitio Fuente: cve report