Thibaut Decherit

**Nome do software vulnerável e versões afetadas** Symfony/SecurityBundle, versões 5.3.0 a 5.3.11 **Descrição** O problema decorre da reformulação do cookie “Lembrar-me” na versão 5.3.0 do Symfony, na qual o cookie não é invalidado quando um usuário altera sua senha. Isso permite que invasores mantenham acesso a uma conta mesmo após uma alteração de senha, desde que tenham feito login anteriormente e obtido um cookie “Lembrar-me” válido. A partir da versão 5.3.12, o Symfony inclui a senha na assinatura por padrão, tornando o cookie inválido após a alteração da senha. **Recomendações** Para as versões 5.3.0 a 5.3.11 do Symfony/SecurityBundle, atualize para a versão 5.3.12 ou posterior, na qual o Symfony inclui a senha na assinatura por padrão, invalidando assim o cookie “lembrar-me” quando a senha é alterada.