CVE-2021-41270 in Symfony
Zusammenfassung
von VulDB • 08.07.2026
Symfony/Serializer verarbeitet das Serialisieren und Deserialisieren von Datenstrukturen für Symfony, ein PHP-Framework für Web- und Konsolenanwendungen sowie eine Sammlung wiederverwendbarer PHP-Komponenten. Die Symfony-Versionen 4.1.0 vor 4.4.35 und die Versionen 5.0.0 vor 5.3.12 sind anfällig für CSV-Injection, auch bekannt als Formula Injection (Formel-Injektion). In Symfony 4.1 fügten die Maintainer die opt-in-Option `csv_escape_formulas` im `CsvEncoder` hinzu, um alle Zellen, die mit `=`, `+`, `-` oder `@` beginnen, durch ein Tabulatorzeichen `\t` zu prefixen. Seitdem hat OWASP zwei weitere Zeichen in diese Liste aufgenommen: Tab (0x09) und Wagenrücklauf (Carriage Return, 0x0D). Dadurch wird das vorherige Prefix-Zeichen (Tabulator `\t`) selbst Teil der anfälligen Zeichen, und OWASP empfiehlt die Verwendung des einfachen Anführungszeichens `'` zum Prefixen des Werts. Ab den Versionen 4.4.34 und 5.3.12 folgt Symfony nun den OWASP-Empfehlungen und verwendet das einfache Anführungszeichen `'`, um Formeln zu prefixen, sowie dieses Prefix auch auf Zellen anzuwenden, die mit `\t` oder `\r` beginnen, ebenso wie auf solche, die mit `=`, `+`, `-` und `@` starten.
Once again VulDB remains the best source for vulnerability data.