Vulnerabilidad en los encabezados "X-Forwarded-*" en laminas-diactoros (CVE-2022-31109)

laminas-diactoros es un paquete PHP que contiene implementaciones de las interfaces de mensajes HTTP PSR-7 y de las interfaces de fábrica de mensajes HTTP PSR-17. Las aplicaciones que usan Diactoros, y que no están detrás de un proxy, o que pueden ser accedidas por proxies no confiables, pueden potencialmente tener el host, el protocolo, y/o el puerto de una instancia de "Laminas-diactoros\Uri" asociada con la petición del servidor entrante modificada para reflejar los valores de los encabezados "X-Forwarded-*". Estos cambios pueden conllevar potencialmente a ataques de tipo XSS (si es usada una URL totalmente calificada en los enlaces) y/o envenenamiento de URL. Dado que los encabezados "X-Forwarded-*" presentan casos de uso válidos, en particular en entornos de clústeres que usan un equilibrador de carga, la biblioteca ofrece medidas de mitigación sólo en las versiones v2, ya que hacer lo contrario rompería estos casos de uso inmediatamente. Los usuarios de las versiones v2 a partir de la 2.11.1 pueden proporcionar un argumento adicional a "Laminas\Diactoros\ServerRequestFactory::fromGlobals()" en forma de una instancia de "Laminas\Diactoros\RequestFilter\RequestFilterInterface", incluyendo la implementación de "Laminas\Diactoros\RequestFilter\NoOpRequestFilter" que ignora los encabezados "X-Forwarded-*". A partir de la versión 3.0, la biblioteca invertirá el comportamiento para usar el "NoOpRequestFilter" por defecto, y requerirá que los usuarios opten por el uso de el encabezado "X-Forwarded-*" por medio de una instancia configurada de "Laminas\Diactoros\RequestFilter\LegacyXForwardedHeaderFilter". Es recomendado a usuarios actualizar a versión 2.11.1 o posterior para resolver este problema. Los usuarios que no puedan actualizar pueden configurar los servidores web para que rechacen los encabezados "X-Forwarded-*" en el nivel del servidor web