cuyz/valinor, versões 0.5.0 a 0.6.x

O problema surge ao atualizar de um sistema mais antigo para um mais recente, o que pode levar à escolha do construtor errado. Existe um risco de segurança, semelhante a um problema conhecido no Rails. Isso pode ser explorado usando uma carga maliciosa, levando potencialmente ao comprometimento do banco de dados. Por exemplo, uma classe UserDTO pode ser explorada quando combinada com a versão vulnerável do cuyz/valinor. A exploração pode ocorrer por meio de vários formatos de entrada, como JSON, HTML ou x-form-urlencoded. A função treeMapper->map pode ser usada com uma carga maliciosa para executar comandos arbitrários no banco de dados.

Para as versões 0.5.0 a 0.6.x do cuyz/valinor, atualize para a versão 0.7.0, que contém um patch para este problema. Como solução alternativa temporária, considere desativar a resolução automática de construtores nomeados e use apenas construtores nomeados mapeados explicitamente. Restrinja o acesso à função treeMapper->map para minimizar o risco de exploração. Evite usar as variáveis connection e id no endpoint da API afetado até que o problema seja resolvido.