PT-2020-18365 · Symfony · Symfony Security Http
Chalasr
·
Publicado
2020-03-30
·
Atualizado
2024-03-06
·
CVE-2020-5275
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
symfony/security-http versões 4.4.0 a 4.4.6
symfony/security-http versões 5.0.0 a 5.0.6
Descrição
O problema ocorre quando um
Firewall verifica as regras de controle de acesso utilizando a estratégia unânime. Nas versões afetadas, o Firewall percorre os atributos de cada regra e interrompe assim que o accessDecisionManager decide conceder acesso a um atributo. Isso impede a verificação dos atributos seguintes que deveriam ter sido levados em conta na estratégia unânime. O accessDecisionManager agora é chamado com todos os atributos de uma só vez, permitindo que a estratégia unânime seja aplicada a cada atributo.Recomendações
Para as versões 4.4.0 a 4.4.6 do symfony/security-http, atualize para a versão 4.4.7 para resolver o problema.
Para as versões 5.0.0 a 5.0.6 do symfony/security-http, atualize para a versão 5.0.7 para resolver o problema.
Exploit
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Symfony Security Http