Se ha descubierto una nueva vulnerabilidad en el componente Runtime de Symfony, que afecta a más de 34.000 instancias del framework PHP Symfony, lo que representa un grave riesgo de seguridad para las organizaciones. Este fallo permite a los atacantes manipular el entorno o el modo de depuración, activando potencialmente el entorno “dev”. Esto expone datos confidenciales y configuraciones, dejando los sistemas vulnerables a accesos no autorizados o configuraciones incorrectas. Se recomienda una intervención inmediata para mitigar el impacto de esta amenaza y proteger las operaciones empresariales críticas.
| Producto | Symfony |
| Fecha | 2024-11-12 17:28:53 |
| Información |
|
Resumen técnico
Symfony/runtime es un módulo del framework PHP Symfony diseñado para desacoplar las aplicaciones PHP del estado global. Existe una vulnerabilidad crítica en las versiones anteriores a la 5.4.46, 6.4.14 y 7.1.7, en las que la directiva PHP register_argc_argv, si está configurada como “on”, permite a los atacantes manipular el entorno o el modo de depuración utilizado por el kernel. Esto puede activarse creando una cadena de consulta maliciosa en la URL ?+--env=dev. El problema se ha resuelto en las versiones de Symfony 5.4.46, 6.4.14 y 7.1.7, en las que el componente SymfonyRuntime ahora ignora los valores argv para los entornos de ejecución PHP no SAPI.
Recomendaciones
Para mitigar el riesgo que supone esta vulnerabilidad, se recomienda encarecidamente actualizar a una de las siguientes versiones de Symfony: 5.4.46, 6.4.14, 7.1.7.
La actualización a una de estas versiones resolverá el problema, ya que incluyen una corrección que hace que el componente SymfonyRuntime ignore los valores argv para los entornos de ejecución PHP no SAPI.
[Callforaction-THREAT-Footer]