2024年11月12日,网上更新披露了Symfony runtime 变量可控漏洞(CVE-2024-50340)
漏洞描述:Symfony 是一个广受欢迎的 PHP 框架,symfony/runtime是Symphony PHP框架的一个模块,它使PHP应用程序与全局状态解耦。当 register_argv_argc php指令设置为 on ,攻击者可构造恶意请求改变相关运行变量,例如改变Symfony为调试模式,造成敏感信息泄漏等。
影响范围:
Symfony 版本 <5.4.46;>=6
Symfony 版本 <6.4.14;>=7
Symfony 版本 <7.17
风险等级:高危
修复方案:
官方已发布安全更新,建议升级至最新版本。
进行安全更新方法:
https://github.com/symfony/symfony/commit/a77b308c3f179ed7c8a8bc295f82b2d6ee3493fa
https://github.com/symfony/symfony/security/advisories/GHSA-x8vp-gf4q-mw5j
