Le 20 mai 2026, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), via le CERT-FR, a publié un avis de sécurité concernant de multiples vulnérabilités affectant le framework PHP Symfony. Dix bulletins de sécurité distincts, émis le même jour par l'éditeur, détaillent des failles touchant plusieurs composants de la plateforme. Les risques identifiés incluent un contournement de la politique de sécurité, un déni de service à distance, une injection de code indirecte à distance (XSS) et une injection de requêtes illégitimes par rebond (CSRF).
Systèmes et versions concernés
Les vulnérabilités affectent une large gamme de modules Symfony distribués via Composer. Parmi les paquets concernés figurent symfony/html-sanitizer, symfony/json-path, symfony/lox24-notifier, symfony/mailjet-mailer, symfony/mailtrap-mailer, symfony/mime, symfony/monolog-bridge, symfony/runtime, symfony/twilio-notifier, symfony/yaml, ainsi que le paquet principal symfony/symfony. Chaque composant est vulnérable dans des versions antérieures à certains correctifs spécifiques, allant de la branche 5.4.x jusqu'à la branche 8.0.x. Par exemple, le module symfony/html-sanitizer est vulnérable avant les versions 6.4.40, 7.4.12 et 8.0.12 selon la branche utilisée. De même, le noyau symfony/symfony doit être mis à jour vers 5.4.52, 6.4.40, 7.4.12 ou 8.0.12 selon la version déployée.
Détails des risques
Les failles recensées peuvent permettre à un attaquant de provoquer un déni de service à distance en exploitant des composants mal configurés ou en envoyant des requêtes malveillantes. Plusieurs vulnérabilités sont classées comme des injections de code indirectes à distance, c'est-à-dire que du code non fiable peut être injecté dans des pages web (XSS) si l'application ne filtre pas correctement les entrées utilisateur. Enfin, certaines failles ouvrent la voie à des attaques par cross-site request forgery (CSRF), où un attaquant peut forcer un utilisateur authentifié à exécuter des actions non désirées sur l'application cible.
Recommandations immédiates
Le CERT-FR recommande aux administrateurs et développeurs d'appliquer sans délai les correctifs fournis par Symfony, disponibles dans les bulletins de sécurité référencés. Les versions corrigées sont accessibles via la commande composer update ou en précisant les versions minimales dans le fichier composer.json. Il est conseillé de vérifier l'ensemble des paquets Symfony utilisés dans chaque projet et de mettre à jour ceux qui figurent dans la liste des systèmes affectés. Aucune solution de contournement n'a été publiée pour l'instant, rendant l'application des correctifs impérative.
Contexte et implications
Symfony est l'un des frameworks PHP les plus utilisés dans le monde pour le développement d'applications web et de services en ligne. Une telle accumulation de vulnérabilités, couvrant à la fois des composants de sécurité, de messagerie, de traitement YAML et de gestion des sessions, souligne l'importance d'une veille de sécurité régulière. Les failles XSS et CSRF sont particulièrement critiques car elles peuvent compromettre les données des utilisateurs ou permettre des actions frauduleuses sans interaction explicite de la victime. Les éditeurs d'applications reposant sur Symfony sont invités à tester et déployer les mises à jour dans les plus brefs délais pour réduire la fenêtre d'exposition.
