Проблема была обнаружена в Http Foundation в Symfony 2.7.0 до 2.7.48, 2.8.0 до 2.8.43, 3.3.0 до 3.3.17, 3.4.0 до 3.4.13, 4.0.0 до 4.0.13 и …

Проблема была обнаружена в Http Foundation в Symfony 2.7.0 до 2.7.48, 2.8.0 до 2.8.43, 3.3.0 до 3.3.17, 3.4.0 до 3.4.13, 4.0.0 до 4.0.13 и 4.1.0 до 4.1.2. Она возникает из-за поддержки (устаревшего) заголовка IIS, который позволяет пользователям переопределять путь в URL-адресе запроса с помощью заголовка HTTP-запроса X-Original-URL или X-Rewrite-URL. Эти заголовки предназначены для поддержки IIS, но не проверяется, действительно ли сервер работает под управлением IIS, что означает, что любой, кто может отправлять эти запросы в приложение, может вызвать это. Это влияет на \Symfony\Component\HttpFoundation\Request::prepareRequestUri(), где используются X-Original-URL и X_REWRITE_URL. Исправление отменяет поддержку этих методов, чтобы их нельзя было использовать в качестве векторов атак, таких как отравление веб-кеша.