CVE-2024-28859

Symfony1, versões 1.3.0 a 1.5.17

Este problema está relacionado a uma cadeia de vulnerabilidades no Symfony1 devido a uma dependência vulnerável do Swift Mailer. A vulnerabilidade permite que um invasor execute código remotamente caso um desenvolvedor deserialize entradas do usuário em seu projeto. Ela não representa uma ameaça direta, mas pode permitir a execução remota de código se um desenvolvedor deserializar dados não confiáveis. O Symfony1 depende do Swift Mailer, que vem incluído por padrão no diretório vendor desde a versão 1.3.0. As classes do Swift Mailer implementam métodos destruct(), que podem ser explorados para acessar propriedades de matrizes ou objetos não pretendidas pelo desenvolvedor. Isso pode levar à execução de qualquer comando PHP, resultando na execução remota de código. O problema foi corrigido na versão 1.5.18.

Para as versões 1.3.0 a 1.5.17 do Symfony1, atualize para a versão 1.5.18 ou superior para resolver o problema. Se estiver usando o Composer, certifique-se de que a versão do Swift Mailer esteja atualizada para 6.2.5 ou superior. Como alternativa, se o Symfony 1.5 precisar do Swift 5.x, considere fazer um fork do Swift Mailer e selecionar o commit que corrige a vulnerabilidade. Como solução temporária, considere evitar a desserialização de entradas do usuário em projetos até que um patch seja aplicado.