Sensio Labs Symfony 安全漏洞

CNNVD-ID编号	CNNVD-202111-2076
CVE编号	CVE-2021-41270
发布时间	2021-11-24
更新时间	2021-11-25
漏洞类型	其他
漏洞来源	N/A
危险等级	中危
威胁类型	远程
厂商	N/A

漏洞介绍

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。 Symfony 存在安全漏洞，该漏洞源于软件容易受到CSV注入的影响，也被称为公式注入。在Symfony 4.1中，维护人员在“CsvEncoder”中添加了opt-In“csvu escapeu formulas”选项，以在所有以“=”、“+”、“-”或“@”开头的单元格前面加上制表符“ ”。此后，OWASP在该列表中添加了两个字符：制表符（0x09）和回车符（0x0D）。这使得前面的前缀char（Tab` `）成为易受攻击的字符的一部分。

漏洞补丁

目前厂商已发布升级了Sensio Labs Symfony 安全漏洞的补丁，Sensio Labs Symfony 安全漏洞的补丁获取链接： https://github.com/symfony/symfony/security/advisories/GHSA-2xhg-w2g5-w95x

参考网址

来源:MISC

链接：https://github.com/symfony/symfony/commit/3da6f2d45e7536ccb2a26f52fbaf340917e208a8
来源:CONFIRM

链接：https://github.com/symfony/symfony/security/advisories/GHSA-2xhg-w2g5-w95x
来源:MISC

链接：https://github.com/symfony/symfony/releases/tag/v5.3.12
来源:MISC

链接：https://github.com/symfony/symfony/pull/44243

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202111-2076