CVE-2021-41270 in Symfonyinformação

Sumário

de VulDB • 10/07/2026

O componente Symfony/Serializer é responsável pela serialização e desserialização de estruturas de dados para o Symfony, um framework PHP destinado a aplicações web e console, além de ser parte de um conjunto de componentes PHP reutilizáveis. As versões do Symfony 4.1.0 anteriores à 4.4.35 e as versões 5.0.0 anteriores à 5.3.12 são vulneráveis à injeção CSV, também conhecida como injeção de fórmulas. No Symfony 4.1, os mantenedores adicionaram a opção `csv_escape_formulas` (ativação opcional) no `CsvEncoder`, para prefixar todas as células que começam com `=`, `+`, `-` ou `@` com uma tabulação `\t`. Desde então, o OWASP incluiu 2 caracteres adicionais nessa lista: Tabulação (0x09) e Retorno de carro (0x0D). Isso faz com que o caractere prefixo anterior (Tabulação `\t`) passe a ser considerado um dos caracteres vulneráveis. O OWASP sugere usar aspas simples `'` para prefixar os valores. A partir das versões 4.4.34 e 5.3.12, o Symfony agora segue as recomendações do OWASP e utiliza aspas simples `'` para prefixar fórmulas, além de adicionar esse prefixo a células que começam com `\t`, `\r`, bem como `=`, `+`, `-` e `@`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub, Inc.

Reservar

15/09/2021

Divulgação

24/11/2021

Moderação

aceite

Entrada

VDB-187249

CPE

pronto

EPSS

0.01355

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!