概述
CVE-2025-64500是一个影响Symfony框架的安全漏洞,CVSS评分为7.3(高危等级)。该漏洞涉及Symfony HttpFoundation组件对PATH_INFO的不正确解析,可能导致有限的授权绕过。
漏洞描述
Symfony是一个用于Web和控制台应用程序的PHP框架,也是一组可重用的PHP组件。Symfony的HttpFoundation组件为HTTP规范定义了一个面向对象的层。
从版本2.0.0开始,在5.4.50、6.4.29和7.3.7之前的版本中,Request类对某些PATH_INFO的解释方式存在问题,导致某些URL的路径表示不以/开头。这可能允许绕过一些基于/前缀假设构建的访问控制规则。
从版本5.4.50、6.4.29和7.3.7开始,Request类现在确保URL路径始终以/开头。
技术细节
受影响版本
- 2.0.0 至 5.4.50之前
- 6.4.29之前版本
- 7.3.7之前版本
漏洞类型
CWE-647:使用非规范URL路径进行授权决策
CVSS评分
- 版本:CVSS 3.1
- 严重性:高危
- 向量:AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
- 可利用性评分:3.9
- 影响评分:3.4
解决方案
更新Symfony HttpFoundation到已修补的版本,确保URL路径以’/‘开头:
- 更新Symfony到版本5.4.50或更高版本
- 更新Symfony到版本6.4.29或更高版本
- 更新Symfony到版本7.3.7或更高版本
参考资源
漏洞时间线
- 发布日期:2025年11月12日
- 最后修改:2025年11月12日
- 远程可利用:是
- 来源:security-advisories@github.com