• 漏洞编号：CVE-2024-50340
• 漏洞等级：高危
• 漏洞标签：POC已公开
• 发布时间：2024-11-07

漏洞描述

Symfony 是一个广受欢迎的 PHP 框架，symfony/runtime是Symphony PHP框架的一个模块，它使PHP应用程序与全局状态解耦。当\`register\_argv\_argc\`php指令设置为\`on\`，攻击者可构造恶意请求改变相关运行变量，例如改变Symfony为调试模式，造成敏感信息泄漏等。

修复建议

升级至最新版本。

参考链接

https://github.com/symfony/symfony/commit/a77b308c3f179ed7c8a8bc295f82b2d6ee3493fa

https://github.com/symfony/symfony/security/advisories/GHSA-x8vp-gf4q-mw5j

https://avd.aliyun.com/detail?id=AVD-2024-50340