Symfony 和多个 Symfony 组件 < 5.4.52 / 6.x < 6.4.40 / 7.x < 7.4.12 / 8.x < 8.0.12 多种漏洞

high Nessus 插件 ID 318791

语言：

简介

远程主机上安装的 PHP 库受到多个漏洞的影响。

描述

远程主机上安装的 Symfony 和/或6.1.x6.4.40其 Symfony Monolog Bridge / MIME / Mailer / Routing / Security HTTP 组件的版本低于、低于、 7.0.x7.4.128.0.x8.0.12或低于，因此受到多个漏洞的影响：

- Symfony 组件的 X509Authenticator 客户端证书（mTLS）认证中存在一个认证绕过漏洞，这是因为使用未锚定的正则表达式从主题 DN 字符串中提取 emailAddress 所导致。未经认证的远程攻击者可利用此漏洞，通过构建的客户端证书（其中包含嵌入在 CN（公用名）字段中的 emailAddress 字符串），绕过认证并冒充任意用户。（CVE-2026-45063）

- Symfony Monolog 桥接组件的 ServerLogCommand（server：log 控制台命令）中存在一个不安全的反序列化漏洞，这是因为默认绑定至所有网络接口（0.0.0.0：9911）且在没有allowed_classes、允许列表或完整性检查的情况下执行未经身份验证的 PHP 对象反序列化所导致。未经身份验证的远程攻击者可利用此问题，通过发送到 TCP 端口 9911 的特制序列化 PHP 负载，根据目标环境中可用的小工具链，通过带有 magic-method 副作用的 PHP 对象注入造成拒绝服务或可能实现远程代码执行。
(CVE-2026-45077)

- Symfony MIME 组件的地址类中存在 CRLF 注入漏洞，这是由于构造函数接受电子邮件地址（尽管已记录为验证输入），但引用的本地部分包含原始 \r\n 字节。经身份验证的远程攻击者可利用此问题，通过在本地部分（如“x\r\nBcc： attacker@evil”@example.com）具有内嵌 CRLF 序列的特制电子邮件地址，注入任意电子邮件标头和 SMTP 命令，造成未经授权的电子邮件泄露、垃圾邮件中继或其他邮件系统滥用。（CVE-2026-45067）

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。另请注意，此插件不区分通过操作系统程序包管理器安装的 PHP 程序包、通过 Composer 或其他来源安装的 PHP 程序包。因此，操作系统程序包存储库提供的程序包可能具有向后移植修复程序，但此插件可能会错误地将这些修复程序报告为漏洞。请参阅操作系统特定插件的 CVE-2026-45063、 CVE-2026-45065、 CVE-2026-45067和 CVE-2026-45068检查 CVE-2026-45077 是否有向后移植的补丁。