CVE-2021-32693:授予所有防火墙身份验证,而不仅仅是一个防火墙
2021年6月17日·发表的法比安效力
描述
当应用程序定义多个防火墙时,其中一个防火墙交付的经过身份验证的令牌对所有其他防火墙可用。当应用程序为应用程序的不同部分定义不同的提供者时,这可能会被滥用。在这种情况下,在应用程序的一个部分上通过身份验证的用户被认为在整个应用程序上通过了身份验证。
现在,我们确保经过身份验证的令牌仅对生成它的防火墙可用。
针对此问题的补丁已经可用在这里5.3分支。
学分
我要感谢Bogdan, gndk, pawewarsaw, Warxcell和Adrien Lamotte报告了这个问题,Wouter J修复了这个问题。
发表在#安全警告
是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。