Symfony Blog2026-06-19

CVE-2026-55878: Traversarea căilor în symfony/ux-toolkit permite scrierea și citirea de fișiere arbitrare printr-un manifest de rețetă creat special

PHPSymfonyStiri
Versiunile afectate ale Symfony UX Toolkit sunt 2.32.0 până la 2.36.1 și 3.0.0 până la 3.2.0, iar problema de securitate a fost remediiată în versiunile 2.36.1 și 3.2.0. Vulnerabilitatea permitea atacatorilor să scrie conținut necontrolat pe mașinile dezvoltatorilor sau pe CI runner, printr-o manipulare a comenzilor console. Soluția introduce o validare suplimentară pentru a preveni utilizarea căilor care pot ieși din directorul destinat.