CVE-2020-5274:修复ErrorHandler渲染的异常消息转义
2020年3月30日·发表的法比安效力
影响版本
ob娱乐下载Symfony 4.4.0到4.4.3和5.0.0到5.0.4版本的Symfony ErrorHandler组件受此安全问题影响。
该问题已在Symfony 4.4.4和5.0.4中修复。ob娱乐下载
描述
当ErrorHandler
渲染一个异常HTML页面,它使用相关exception类的未转义属性来渲染堆栈跟踪。安全问题来自于这样一个事实,即堆栈跟踪也显示在非调试
环境。
决议
的ErrorHandler
类现在转义所有来自相关异常的属性,并且stacktrace不再显示在non-调试
环境。
学分
我要感谢Luka Sikic的报道,感谢Yonel Ceruto和Jérémy Derussé解决了这个问题。
发表在#安全警告
是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
Jeroen Noten is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now