Na stronie jednej z najpopularniejszych platform programistycznych PHP, Symfony, został umieszczony nowy wpis dotyczący najnowszej podatności. Podatność ta dotyczy również wszystkich aplikacji zbudowanych z użyciem podatnych wersji bibliotek (np. Drupal).
CVE-2018-14773 – Błąd polega na możliwości nadpisania ścieżki (URL) nagłówkiem X-Original-URL lub X-Rewrite-URL, w żądaniu do serwera . Są to nagłówki, które zostały dodane na potrzeby działania aplikacji na serwerze IIS, lecz z powodu braku sprawdzenia czy rzeczywiście aplikacja działa na serwerze IIS, nagłówki działają również na innych serwerach www. Atakujący wykorzystując podatność mógł dostać się do stron z ograniczonym dostępem.
Podatne wersje Symfony: 2.7.0 do 2.7.48, 2.8.0 do 2.8.43, 3.3.0 do 3.3.17, 3.4.0 do 3.4.13, 4.0.0 do 4.0.13 i 4.1.0 do 4.1.2
Źródło: https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny