CVE-2021-41270 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 08.
Symfony/Serializer는 웹 및 콘솔 애플리케이션용 PHP 프레임워크인 Symfony와 일련의 재사용 가능한 PHP 컴포넌트를 위해 데이터 구조를 직렬화하고 역직렬화합니다. Symfony 버전 4.1.0부터 4.4.35 미만, 그리고 버전 5.0.0부터 5.3.12 미만의 버전에 대해 CSV 인젝션(수식 인젝션이라고도 함) 취약점이 존재합니다. Symfony 4.1에서 유지 관리자들은 `CsvEncoder`에 옵트인(opt-in) 방식의 `csv_escape_formulas` 옵션을 추가하여, `=`, `+`, `-`, 또는 `@`로 시작하는 모든 셀 앞에 탭(`\t`) 접두사를 붙였습니다. 이후 OWASP는 해당 목록에 탭(0x09)과 캐리지 리턴(0x0D) 두 문자를 추가로 지정했습니다. 이로 인해 기존 접두사 문자인 탭(`\t`)이 취약한 문자의 일부가 되었고, OWASP는 값 앞에 단일 따옴표(`'`)를 사용하여 접두사를 붙일 것을 권장합니다. 버전 4.4.34 및 5.3.12부터 Symfony는 이제 OWASP 권고를 준수하여 수식 앞에 단일 따옴표(`'`)를 사용하고, `\t`, `\r`로 시작하는 셀에도 이 접두사를 추가하며 `=`, `+`, `-`, `@`로 시작하는 셀에도 적용합니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.