CVE-2021-41270 in Symfony
Sumário
de VulDB • 10/07/2026
O componente Symfony/Serializer é responsável pela serialização e desserialização de estruturas de dados para o Symfony, um framework PHP destinado a aplicações web e console, além de ser parte de um conjunto de componentes PHP reutilizáveis. As versões do Symfony 4.1.0 anteriores à 4.4.35 e as versões 5.0.0 anteriores à 5.3.12 são vulneráveis à injeção CSV, também conhecida como injeção de fórmulas. No Symfony 4.1, os mantenedores adicionaram a opção `csv_escape_formulas` (ativação opcional) no `CsvEncoder`, para prefixar todas as células que começam com `=`, `+`, `-` ou `@` com uma tabulação `\t`. Desde então, o OWASP incluiu 2 caracteres adicionais nessa lista: Tabulação (0x09) e Retorno de carro (0x0D). Isso faz com que o caractere prefixo anterior (Tabulação `\t`) passe a ser considerado um dos caracteres vulneráveis. O OWASP sugere usar aspas simples `'` para prefixar os valores. A partir das versões 4.4.34 e 5.3.12, o Symfony agora segue as recomendações do OWASP e utiliza aspas simples `'` para prefixar fórmulas, além de adicionar esse prefixo a células que começam com `\t`, `\r`, bem como `=`, `+`, `-` e `@`.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.