Mit den Versionen 2.0.24, 2.1.12, 2.2.5 und 2.3.3 erscheinen wichtige Sicherheitspatches für das Symfony Framework. Diese beheben je ein Leck in der Validator– und in der HttpFoundation-Komponente. Das erste firmiert unter dem Code CVE-2013-4751 und beschreibt eine Lücke des Validators in Verbindung mit dem ApcCache, wegen der Arrays oder passierbare Objekte in Feldern mit @Valid-Bedingung nicht vom Validator geprüft werden. Das zweite Leck hat den Code CVE-2013-4752 und betrifft den Request::getHost(), mit dem Host Header Attacks durchgeführt werden können.

Beide Symfony-Sicherheitslücken lassen sich mit den hier verlinkten Patches schließen. Alternativ empfiehlt sich ein Update, was mit Symfony 2.1 oder neuer einfach via Composer durchführbar ist.