Se acaba de publicar la versión 1.0.16 de Symfony que corrige un importante problema de seguridad. El error permite a un atacante saltarse todo el proceso de validación de una acción. Para que el ataque tenga éxito, la aplicación debe utilizar el valor :action como parte de las rutas del sistema de enrutamiento.

Por lo tanto, si utilizas la regla de enrutamiento por defecto de Symfony (/_module/:action/*) tu aplicación está comprometida. La explicación completa del problema se puede encontrar en el ticket 1617 y su corrección en el changeset 8922.

Si utilizas Symfony 1.1, tus aplicaciones sólo son vulnerables si utilizas la compatibilidad con la versión 1.0.

Para actualizar tu versión de Symfony:

• Si usas el sandbox, te lo tienes que bajar otra vez.
• Si lo has instalado mediante PEAR, ejecuta el comando pear upgrade symfony/symfony
• Si lo instalas mediante Subversion, ejecuta el comando svn checkout http://svn.symfony-project.com/tags/RELEASE_1_0_16/ .

Independientemente de cómo lo actualices, no olvides borrar la caché de cada proyecto después de la actualización, mediante el comando symfony cc

Fuente: symfony 1.0.16 is out