CVE-2020-5220

Sylius ResourceBundle versões anteriores à 1.3.13

Sylius ResourceBundle versões 1.3.0 a 1.3.12

Sylius ResourceBundle versões 1.4.0 a 1.4.5

Versões 1.5.0 do Sylius ResourceBundle

Versões 1.6.0 a 1.6.2 do Sylius ResourceBundle

O problema decorre do fato de o Sylius ResourceBundle aceitar e utilizar quaisquer grupos de serialização passados por meio de um cabeçalho HTTP, o que pode levar à exposição de dados ao usar um grupo de serialização não pretendido. Por exemplo, isso poderia fazer com que a API da Loja utilizasse um grupo mais permissivo da API de Administração. Qualquer pessoa que exponha uma API com o controlador do ResourceBundle é afetada. A vulnerabilidade também envolve a capacidade de alternar canais por meio do parâmetro GET channel code em ambientes de produção devido a um problema de configuração.

Para as versões do Sylius ResourceBundle anteriores à 1.3.13, atualize para a versão 1.3.13 ou mais recente.

Para as versões do Sylius ResourceBundle de 1.3.0 a 1.3.12, atualize para a versão 1.3.13 ou mais recente.

Para as versões do Sylius ResourceBundle de 1.4.0 a 1.4.5, atualize para a versão 1.4.6 ou mais recente.

Para a versão 1.5.0 do Sylius ResourceBundle, atualize para a versão 1.5.1 ou mais recente.

Para as versões 1.6.0 a 1.6.2 do Sylius ResourceBundle, atualize para a versão 1.6.3 ou mais recente.

Como solução alternativa temporária para versões não suportadas, considere adicionar a configuração sylius channel: debug: false para impedir que o recurso de depuração seja ativado.

Serviço `sylius.resource controller.request configuration fact