Symfony runtime 变量可控漏洞CVE-2024-50340

Symfony 是基于MVC架构的PHP框架免费软件，目前已有诸多网站完全采用此框架开发，Symfony 的目的是加速Web应用的创建与维护。

Symfony 框架由一组共同发挥作用的 PHP 组件组成：一个Web应用框架、一个概念、一个社区，功能对商业应用启动和运行相当有价值。

凭借其可重用的PHP组件和对MVC架构的依赖，Symfony适用于具有挑战性的企业计划，可以帮助开发人员节省时间，并减少代码错误。

一、基本情况

Symfony 框架旨在让用户轻松构建自己的软件，内容管理系统、微服务、博客、报告、机器人、电子商务平台和会计系统都是典型案例。

Symfony 使用Monolog这个第三方PHP日志框架，可用来编写和存储各种方式的日志，被用来处理Symfony日志，当然用户可修改配置。

Symfony 是一个广受欢迎的 PHP Web框架，symfony/runtime是Symphony PHP框架中的一个模块，它使PHP应用程序与全局状态解耦。

栋科技漏洞库关注到Symphony PHP 框架近期披露其ymfony/runtime模块中存在的一个变量可控漏洞，该漏洞追踪为CVE-2024-50340。

二、漏洞分析

CVE-2024-50340源于`register_argv_argc`php指令设置为`on`时，攻击者可以利用特质的查询字符来构造恶意请求，从而调用任何URL。

攻击者可以因此更改内核在处理请求时使用的环境或者将Symfony修改为调试模式，从而造成敏感信息泄露等情况，漏洞CVSS评分7.3。

官方对于负责任的报告了该漏洞的安全分析人员 Vladimir Dusheyko 表示感谢，同时感谢安全研究人员Wouter de Jong提供的修复方法。

三、影响范围

Symfony versions: ~ 5.4.46 (excluded)

Symfony versions: 6 (inclusive) ~ 6.4.14 (excluded)

Symfony versions: 7 (inclusive) ~ 7.1.7 (excluded)

四、修复建议

Symfony versions >= 5.4.46 (excluded)

Symfony versions: 6 (inclusive) >=  6.4.14 (excluded)

Symfony versions: 7 (inclusive) >=  7.1.7 (excluded)

五、参考链接

https://github.com/symfony/symfony/commit/a77b308c3f179ed7c8a8bc295f82b2d6ee3493fa    

 https://github.com/symfony/symfony/security/advisories/GHSA-x8vp-gf4q-mw5j

https://symfony.com/blog/cve-2024-50340-ability-to-change-environment-from-query