Une nouvelle vulnérabilité a été découverte dans le composant Runtime de Symfony, touchant plus de 34 000 instances du framework PHP Symfony, ce qui représente un risque majeur pour la sécurité des organisations. Cette faille permet aux attaquants de manipuler l’environnement ou le mode de débogage, en activant potentiellement l’environnement “dev”. Cela expose des données sensibles et des configurations, rendant les systèmes vulnérables aux accès non autorisés ou aux erreurs de configuration. Une intervention immédiate est recommandée pour atténuer l’impact de cette menace et protéger les opérations critiques de l’entreprise.
| Produit | Symfony |
| Date | 12/11/2024 17:28:53 |
| Informations |
|
Résumé technique
Symfony/runtime est un module du framework PHP Symfony conçu pour découpler les applications PHP de l’état global. Une vulnérabilité critique est présente dans les versions antérieures à 5.4.46, 6.4.14 et 7.1.7, où la directive PHP register_argc_argv, si elle est activée (on), permet aux attaquants de manipuler l’environnement ou le mode de débogage utilisé par le noyau. Cela peut être déclenché en créant une chaîne de requête malveillante dans l’URL ?+--env=dev. Le problème a été résolu dans les versions de Symfony 5.4.46, 6.4.14 et 7.1.7, où le composant SymfonyRuntime ignore désormais les valeurs argv pour les environnements d’exécution PHP non-SAPI.
Recommandations
Pour atténuer le risque posé par cette vulnérabilité, il est fortement conseillé de mettre à jour vers l’une des versions suivantes de Symfony : 5.4.46, 6.4.14, 7.1.7.
La mise à jour vers l’une de ces versions résoudra le problème, car elles incluent un correctif permettant au composant SymfonyRuntime d’ignorer les valeurs argv pour les environnements d’exécution PHP non-SAPI.
[Callforaction-THREAT-Footer]
Leave a Reply