Una nuova vulnerabilità è stata scoperta nel componente Runtime di Symfony, che coinvolge oltre 34.000 istanze del framework PHP Symfony, rappresentando un grave rischio per la sicurezza delle organizzazioni. Questa falla consente agli attaccanti di manipolare l’ambiente o la modalità di debug, potenzialmente attivando l’ambiente “dev”. Ciò espone dati sensibili e configurazioni, rendendo i sistemi vulnerabili ad accessi non autorizzati o a configurazioni errate. Si raccomanda un intervento immediato per mitigare l’impatto di questa minaccia e proteggere le operazioni aziendali critiche.
| Symfony |
| 2024-11-12 17:28:53 |
| Trending, Fix Available |
Riassunto tecnico
Symfony/runtime è un modulo del framework PHP Symfony progettato per disaccoppiare le applicazioni PHP dallo stato globale. Una vulnerabilità critica è presente nelle versioni precedenti alla 5.4.46, 6.4.14 e 7.1.7, in cui la direttiva PHP register_argc_argv, se impostata su on, consente agli attaccanti di manipolare l’ambiente o la modalità di debug utilizzata dal kernel. Ciò può essere innescato creando una stringa di query malevola nell’URL ?+--env=dev. Il problema è stato risolto nelle versioni di Symfony 5.4.46, 6.4.14 e 7.1.7, in cui il componente SymfonyRuntime ora ignora i valori argv per i runtime PHP non-SAPI.
Raccomandazioni
Per mitigare il rischio posto da questa vulnerabilità, si consiglia vivamente di aggiornare a una delle seguenti versioni di Symfony: 5.4.46, 6.4.14, 7.1.7.
L’aggiornamento a una di queste versioni risolverà il problema, in quanto includono una correzione che fa sì che il componente SymfonyRuntime ignori i valori argv per i runtime PHP non-SAPI.