Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-41267

Vulnerabilidad en los encabezados "X-Forwarded-Prefix" en Symfony/Http-Kernel (CVE-2021-41267)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Sin asignar
Fecha publicación : 
24/11/2021
Última modificación: 
24/11/2021
Descripción
Symfony/Http-Kernel es el componente del núcleo HTTP de Symfony, un framework PHP para aplicaciones web y de consola y un conjunto de componentes PHP reusables. Los encabezados que no forman parte de la lista permitida "trusted_headers" son ignoradas y protegen a los usuarios de ataques de "Cache poisoning". En Symfony versión 5.2, los mantenedores añadieron soporte para los encabezados "X-Forwarded-Prefix", pero este encabezado era accesible en SubRequest, incluso si no era parte de la lista permitida "trusted_headers". Un atacante podría aprovechar esta oportunidad para falsificar peticiones que contengan un encabezado "X-Forwarded-Prefix", conllevando aun problema de envenenamiento de la caché web. Las versiones 5.3.12 y posteriores presentan un parche para asegurar que el encabezado "X-Forwarded-Prefix" no es reenviado a las subpeticiones cuando no es confiable
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: No disponible
Autenticación: No disponible
Tipo de impacto: No disponible
Explicación de los campos