使用CachingHttpClient错误调用不可信远程时Symfony的防RCE

Question

在部署中尝试执行composer install --no-progress时，我得到了以下错误：

1 packages have known vulnerabilities.
!!  
!!  symfony/http-kernel (v5.0.7)
!!  ----------------------------
!!  
!!   * [CVE-2020-15094][]: Prevent RCE when calling untrusted remote with CachingHttpClient
!!  
!!  [CVE-2020-15094]: https://symfony.com/cve-2020-15094

按照错误中提供的这个链接：https://symfony.com/blog/cve-2020-15094-prevent-rce-when-calling-untrusted-remote-with-cachinghttpclient

它将我导航到以下github链接：https://github.com/symfony/symfony/commit/ba3975329149cddebfe969f70b2577b0e37d1e76

这对地方发展和与之相关的修复意味着什么？我试着遵循以下链接: src/Symfony/Component/HttpClient/Tests/CachingHttpClientTest.php

我的项目没有那个链接

​

​

那我该怎么解决这个问题呢？一个更新问题是如何向前推进的？我用的是苹果电脑。

Answer 1

向前迈进的最好方法是更新到稍后的Symfony版本。5.0不再维护，您可以使用5.1或5.2。如果您不是负责更新项目上的依赖项的人，则可能需要向项目依赖项的相关人员报告这一情况。

如果您查看错误本身(https://symfony.com/cve-2020-15094)中链接的页面，您可以读取：

问题已在Symfony 4.4.13和5.1.5中得到解决。Symfony 4.3和5.0不会被修补，因为它们不再被维护。

要更新Symfony，可以遵循以下链接：https://symfony.com/doc/current/setup/upgrade_minor.html