CVE-2020-5218

Versões do Sylius anteriores à 1.3.13

Versões do Sylius 1.3.0 a 1.3.12

Versões do Sylius 1.4.0 a 1.4.5

Versões do Sylius 1.5.0

Versões do Sylius 1.6.0 a 1.6.2

A vulnerabilidade permite que invasores alterem canais por meio do parâmetro GET channel code em ambientes de produção. Isso deveria ser habilitado apenas quando %kernel.debug% estivesse definido como true. No entanto, se sylius channel.debug não estiver definido explicitamente na configuração, o valor padrão, que é %kernel.debug%, não será resolvido e será convertido para booleano, ativando esse recurso de depuração mesmo que o parâmetro esteja definido como false. Além disso, o ResourceBundle aceita e utiliza quaisquer grupos de serialização passados por meio de um cabeçalho HTTP, o que pode levar à exposição de dados ao usar um grupo de serialização não intencional.

Para as versões 1.3.0 a 1.3.12 do Sylius, atualize para a versão 1.3.13 ou mais recente.

Para as versões 1.4.0 a 1.4.5 do Sylius, atualize para a versão 1.4.6 ou mais recente.

Para a versão 1.5.0 do Sylius, atualize para a versão 1.5.1 ou mais recente.

Para as versões do Sylius 1.6.0 a 1.6.2, atualize para a versão 1.6.3 ou mais recente.

Para versões anteriores à 1.3, adicione a configuração sylius channel: debug: false para execução em produção.

Como solução alternativa temporária, considere substituir o serviço sylius.resource controller.request configuration factory por uma implementação que não lide com grupos de serialização personalizados por meio do cabeçalho HTTP.