Chalasr

**Nome do software vulnerável e versões afetadas** Versões do Symfony anteriores à 3.4 **Descrição** O problema está relacionado à divulgação de informações, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas. A vulnerabilidade é causada pela possibilidade de enumerar usuários sem as permissões necessárias, devido a um tratamento diferente dependendo da existência ou não do usuário ao tentar usar a funcionalidade de troca de usuários. Além disso, era possível enumerar usuários por meio de um ataque de temporização, comparando o tempo decorrido na autenticação de um usuário existente com o de um usuário inexistente. **Recomendações** Para versões do Symfony anteriores à 3.4, o patch para este problema está disponível para o branch 3.4, garantindo que sejam retornados erros 403 independentemente da existência do usuário, caso um usuário não consiga alternar para outro usuário ou se o usuário não existir. Como solução temporária, considere restringir o acesso à funcionalidade de troca de usuários até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** symfony/security-http versões 4.4.0 a 4.4.6 symfony/security-http versões 5.0.0 a 5.0.6 **Descrição** O problema ocorre quando um `Firewall` verifica as regras de controle de acesso utilizando a estratégia unânime. Nas versões afetadas, o `Firewall` percorre os atributos de cada regra e interrompe assim que o `accessDecisionManager` decide conceder acesso a um atributo. Isso impede a verificação dos atributos seguintes que deveriam ter sido levados em conta na estratégia unânime. O `accessDecisionManager` agora é chamado com todos os atributos de uma só vez, permitindo que a estratégia unânime seja aplicada a cada atributo. **Recomendações** Para as versões 4.4.0 a 4.4.6 do symfony/security-http, atualize para a versão 4.4.7 para resolver o problema. Para as versões 5.0.0 a 5.0.6 do symfony/security-http, atualize para a versão 5.0.7 para resolver o problema.