php · symfony/security-httpCrítico
symfony/security-http: DefaultAuthenticationFailureHandler ignora _failure_path com failure_forward ativado
DefaultAuthenticationFailureHandler não honra mais o parâmetro _failure_path enviado pela requisição quando failure_forward está ativado.
O que mudou
DefaultAuthenticationFailureHandler não honra mais o parâmetro _failure_path enviado pela requisição quando failure_forward está ativado. A sub-requisição é sempre despachada para a opção failure_path configurada.
Quem isso afeta
Aplicações que usam o componente symfony/security-http com form-login e failure_forward: true, especialmente aquelas com regras access_control amplas protegendo áreas administrativas.
O que fazer hoje
Atualize o symfony/security-http para a versão corrigida (commit c48a4276309e11aedeeb0ce3a89dfbf0b4fe04ff para o branch 5.4) ou aplique o patch manualmente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado