Versões do mezzio-swoole anteriores à 3.7.0

Versões do mezzio-swoole anteriores à 4.3.0

A vulnerabilidade afeta aplicações mezzio-swoole que utilizam o Diactoros para sua implementação PSR-7. Se a aplicação não estiver protegida por um proxy ou puder ser acessada por meio de proxies não confiáveis, o host, o protocolo e/ou a porta de uma instância LaminasDiactorosUri associada à solicitação de servidor recebida podem ser modificados para refletir valores dos cabeçalhos X-Forwarded-*. Isso pode levar a ataques XSS e/ou envenenamento de URL.

Para versões anteriores à 3.7.0, atualize para a versão 3.7.0 ou posterior.

Para versões anteriores à 4.3.0, atualize para a versão 4.3.0 ou posterior.

Como solução alternativa temporária, considere colocar um proxy reverso confiável na frente do servidor mezzio-swoole para filtrar cabeçalhos X-Forwarded-* não confiáveis.

Os usuários também podem definir o serviço LaminasDiactorosServerRequestFilterFilterServerRequestInterface para fornecer uma implementação diferente para filtrar a instância de solicitação gerada.