Maximilian Kresse

**Nome do software vulnerável e versões afetadas** Versões do lamina-diactoros anteriores à 2.11.1 **Descrição** O pacote PHP laminas-diactoros está vulnerável a possíveis modificações de host, protocolo e/ou porta de uma instância `LaminasDiactorosUri` associada à solicitação de servidor recebida, com base nos valores dos cabeçalhos `X-Forwarded-*`. Isso pode levar a ataques XSS ou envenenamento de URL se uma URL totalmente qualificada for usada em links. Os cabeçalhos `X-Forwarded-*` têm casos de uso válidos, particularmente em ambientes em cluster que utilizam um balanceador de carga. **Recomendações** Para versões anteriores à 2.11.1, recomenda-se que os usuários atualizem para a versão 2.11.1 ou posterior para resolver este problema. Para usuários que não possam atualizar, configurem os servidores web para rejeitar cabeçalhos `X-Forwarded-*` no nível do servidor web. Como solução alternativa temporária, considere usar a implementação `LaminasDiactorosRequestFilterNoOpRequestFilter` para ignorar os cabeçalhos `X-Forwarded-*`. A partir da versão 3.0, a biblioteca reverterá o comportamento para usar o `NoOpRequestFilter` por padrão e exigirá que os usuários optem pelo uso do cabeçalho `X-Forwarded-*` por meio de uma instância configurada de `LaminasDiactorosRequestFilterLegacyXForwardedHeaderFilter`.