Na stronie jednej z najpopularniejszych platform programistycznych PHP, Symfony, został umieszczony nowy wpis dotyczący najnowszej podatności. Podatność ta dotyczy również wszystkich aplikacji zbudowanych z użyciem podatnych wersji bibliotek (np. Drupal).

CVE-2018-14773 – Błąd polega na możliwości nadpisania ścieżki (URL) nagłówkiem X-Original-URL lub X-Rewrite-URL, w żądaniu do serwera . Są to nagłówki, które zostały dodane na potrzeby działania aplikacji na serwerze IIS, lecz z powodu braku sprawdzenia czy rzeczywiście aplikacja działa na serwerze IIS, nagłówki działają również na innych serwerach www. Atakujący wykorzystując podatność mógł dostać się do stron z ograniczonym dostępem.

Podatne wersje Symfony: 2.7.0 do 2.7.48, 2.8.0 do 2.8.43, 3.3.0 do 3.3.17, 3.4.0 do 3.4.13, 4.0.0 do 4.0.13 i 4.1.0 do 4.1.2

Źródło: https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers