symfony/runtime: correção incompleta do CVE-2024-50340 permite manipulação de argv via query string

A correção original do CVE-2024-50340 no symfony/runtime era incompleta. Ela impedia a leitura de argv apenas quando $_GET estava vazio, mas parse_str() e o SAPI web podem discordar sobre a entrada, permitindo que um atacante crie uma query que deixa $_GET vazio enquanto $_SERVER['argv'] carrega flags maliciosas. A nova correção impede a leitura de argv quando isset($_SERVER['QUERY_STRING']) é verdadeiro.

Aplicações que usam symfony/runtime com SAPI web, register_argc_argv=On, e inicializadas via symfony/runtime. Um GET não autenticado pode alterar APP_ENV e alternar APP_DEBUG.

Atualize symfony/runtime para as versões 5.4.46, 6.4.14, 7.1.7 ou superiores, ou aplique o patch do commit 3228c3806ee511008bea19a95084d460b17e5d25.