CVE-2018-19790:使用安全\Http时打开重定向漏洞

2018年12月6日·发表的

影响版本

ob娱乐下载Symfony 2.7.0到2.7.49、2.8.0到2.8.48、3.0.0到3.4.19、4.0.0到4.0.14、4.1.0到4.1.8和4.2.0版本的Symfony Form组件受此安全问题影响。

该问题已在Symfony 2.7.50, 2.8.49,ob娱乐下载 3.4.20, 4.0.15, 4.1.9和4.2.1中修复。

请注意，没有为Symfony 3.0、3.1、3.2和3.3提供修复，因ob娱乐下载为它们不再被维护。

中使用反斜杠_failure_path登录表单的输入字段，可以绕过重定向目标限制，并在登录后有效地将用户重定向到任何域。

正则表达式筛选重定向目标已被更新，以考虑前后斜杠的混合。

针对此问题的补丁已经可用在这里对于分支2.7。

我要感谢EC-CUBE开发团队报告了这个问题，Christian Flothmann修复了它。

发表在＃安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样，贡献代码或文档是最常欧宝官网下载app见的帮助方式，但我们也有广泛的赞助机会．

马修·史密兹 2018年12月6日说在32

# 1

有用的信息是，通过激活登录配置中的always_use_default_target_path，您将积极缓解登录的这个问题(在旧的Symfony版本中)，因为当该参数设置为true时，登录的重定向将始终转发到/ob娱乐下载

杰森谭 2018年12月10日说在20:28

＃2

这篇文章提到了Symfony Form组件，但它ob娱乐下载应该是安全组件，对吗?

为了确保评论保持相关性，旧帖子将被关闭。