CVE-2022-31109

Versões do lamina-diactoros anteriores à 2.11.1

O pacote PHP laminas-diactoros está vulnerável a possíveis modificações de host, protocolo e/ou porta de uma instância LaminasDiactorosUri associada à solicitação de servidor recebida, com base nos valores dos cabeçalhos X-Forwarded-*. Isso pode levar a ataques XSS ou envenenamento de URL se uma URL totalmente qualificada for usada em links. Os cabeçalhos X-Forwarded-* têm casos de uso válidos, particularmente em ambientes em cluster que utilizam um balanceador de carga.

Para versões anteriores à 2.11.1, recomenda-se que os usuários atualizem para a versão 2.11.1 ou posterior para resolver este problema.

Para usuários que não possam atualizar, configurem os servidores web para rejeitar cabeçalhos X-Forwarded-* no nível do servidor web.

Como solução alternativa temporária, considere usar a implementação LaminasDiactorosRequestFilterNoOpRequestFilter para ignorar os cabeçalhos X-Forwarded-*.

A partir da versão 3.0, a biblioteca reverterá o comportamento para usar o NoOpRequestFilter por padrão e exigirá que os usuários optem pelo uso do cabeçalho X-Forwarded-* por meio de uma instância configurada de LaminasDiactorosRequestFilterLegacyXForwardedHeaderFilter.