CVE-2021-32693:授予所有防火墙身份验证，而不仅仅是一个防火墙

影响版本

ob娱乐下载Symfony >= 5.3.0， <5.3.2版本的Symfony Security HTTP组件受此安全问题影响。

该问题已在Symfony 5.3.2中修复。ob娱乐下载

描述

当应用程序定义多个防火墙时，其中一个防火墙交付的经过身份验证的令牌对所有其他防火墙可用。当应用程序为应用程序的不同部分定义不同的提供者时，这可能会被滥用。在这种情况下，在应用程序的一个部分上通过身份验证的用户被认为在整个应用程序上通过了身份验证。

现在，我们确保经过身份验证的令牌仅对生成它的防火墙可用。

针对此问题的补丁已经可用在这里5.3分支。

学分

我要感谢Bogdan, gndk, pawewarsaw, Warxcell和Adrien Lamotte报告了这个问题，Wouter J修复了这个问题。