ASA-2019-00415 – TYPO3: Possíveis efeitos colaterais de desserialização no symfony/cache

O componente de terceiros symfony/cache  pode ter levado potencialmente à remoção de arquivos arbitrários em combinação com outras vulnerabilidades de desserialização inseguras.

ASA-2019-00229 – Symfony: Rejeita substituições inválidas de métodos HTTP

Os métodos HTTP, do próprio método HTTP ou usando o cabeçalho X-Http-Method-Override, foram retornados como o método em questão, sem que a validação fosse feita na string, o que significa que eles poderiam ser usados em contextos perigosos quando deixados sem escape.

ASA-2019-00226 – Symfony: Adiciona um separador no hash do cookie lembrar-me

Isso corrige situações em que parte de um tempo de expiração em um cookie pode ser considerada parte do nome de usuário ou parte do nome de usuário pode ser considerada parte do tempo de expiração. Um atacante pode modificar o cookie lembrar-me e autenticar como um usuário diferente. Este ataque só é possível se a funcionalidade lembrar-me estiver habilitada e os dois usuários compartilharem um hash de senha ou hashes de senha (por exemplo, UserInterface::getPassword ()) são nulos para todos os usuários (o que é válido se as senhas forem verificadas por um sistema externo, por exemplo, um SSO).