Les développeurs du framework PHP Symfony ont annulé une modification récente qui a désactivé par inadvertance la protection contre les attaques de falsification de requête intersite (CSRF).
Symfony est un framework PHP populaire pour les applications Web et console. Le composant de formulaire Symfony du logiciel open source dispose d’un mécanisme de protection CSRF qui repose sur un jeton aléatoire injecté dans le formulaire.
Cette protection peut être activée ou désactivée en modifiant la configuration de la structure. La protection était activée par défaut jusqu’à ce qu’un changement récent dans la façon dont la configuration était chargée signifiait que la protection CSRF était désactivée et devait être explicitement activée.
EN RELATION Bogue d’empoisonnement du cache Web découvert dans le framework Symfony PHP
Les vulnérabilités CSRF créent un mécanisme permettant aux attaquants d’inciter les utilisateurs à effectuer des actions qu’ils n’avaient pas l’intention d’effectuer. Le problème survient dans les cas où il est possible que différents sites Web interfèrent les uns avec les autres.
Les navigateurs modernes tels que Chrome ainsi que les frameworks de développement Web tels que Symfony disposent d’une protection intégrée contre les attaques CSRF.
Les utilisateurs des versions concernées de Symfony (5.3.14 , 5.4.3 et 6.03) doivent effectuer une mise à niveau vers les versions corrigées, comme expliqué dans un avis publié sur GitHub.
Le problème – suivi comme CVE-2022-23501 – a obtenu un score CVSS de 8,1. En raison de son impact élevé, une remédiation précoce est recommandée.
TU POURRAIS AUSSI AIMER Chrome pour renforcer les protections CSRF avec des vérifications en amont des demandes de réseau privé