Eine neue Schwachstelle wurde in der Symfony-Runtime-Komponente entdeckt, die über 34.000 Instanzen des PHP-Frameworks Symfony betrifft und ein erhebliches Sicherheitsrisiko für Unternehmen darstellt. Diese Sicherheitslücke ermöglicht es Angreifern, die Umgebung oder den Debug-Modus zu manipulieren und potenziell die “dev”-Umgebung zu aktivieren. Dies legt sensible Daten und Konfigurationen offen und macht Systeme anfällig für unbefugten Zugriff oder Fehlkonfigurationen. Es wird ein sofortiges Handeln empfohlen, um die Auswirkungen dieser Bedrohung zu mindern und kritische Geschäftsabläufe zu schützen.
| Produkt | Symfony |
| Datum | 12.11.2024 17:28:53 |
| Informationen |
|
Technische Zusammenfassung
Symfony/runtime ist ein Modul des PHP-Frameworks Symfony, das dazu dient, PHP-Anwendungen vom globalen Zustand zu entkoppeln. Eine kritische Schwachstelle existiert in Versionen vor 5.4.46, 6.4.14 und 7.1.7, bei denen die PHP-Direktive register_argc_argv, wenn sie auf “on” gesetzt ist, es Angreifern ermöglicht, die vom Kernel verwendete Umgebung oder den Debug-Modus zu manipulieren. Dies kann durch das Erstellen eines bösartigen Query-Strings in der URL ?+--env=dev ausgelöst werden. Das Problem wurde in den Symfony-Versionen 5.4.46, 6.4.14 und 7.1.7 behoben, in denen die SymfonyRuntime-Komponente nun argv-Werte für Nicht-SAPI-PHP-Runtimes ignoriert.
Empfehlungen
Um das von dieser Schwachstelle ausgehende Risiko zu mindern, wird dringend empfohlen, auf eine der folgenden Symfony-Versionen zu aktualisieren: 5.4.46, 6.4.14 oder 7.1.7.
Das Update auf eine dieser Versionen behebt das Problem, da sie einen Fix enthalten, der dazu führt, dass die SymfonyRuntime-Komponente argv-Werte für Nicht-SAPI-PHP-Runtimes ignoriert.
[Callforaction-THREAT-Footer]
Leave a Reply