@jderusse.bsky.social
developer @blackfire.io core team & security team @symfony
oh, and by the way, same for `dd` 🙏
26.10.2025 21:20 — 👍 0 🔁 0 💬 0 📌 0opt out with `--user-agent "not-curl" ` 😉
26.10.2025 21:18 — 👍 0 🔁 0 💬 0 📌 0Shall we do the same when the user-agent is curl? 🤔
26.10.2025 15:18 — 👍 3 🔁 0 💬 1 📌 0Depuis, aucune nouvelle... jusqu'au message de la fédération de ce matin 🙄
Je ne vais pas donner de détails sur la faille, car je ne suis même pas sure que c'est bien elle qui a été utilisée, et si la FFME a bien corrigé le soucis.
Cela risque de se retourne contre moi 🤕
2023, au détour d'une compétition j'échange avec un président d'une des ligues de la fédération. Alarmé par la situation, il me demande de lui faire un email pour qu'il "remonte le problème". Le lendemain je lui envoie un email avec toutes les informations 😒
23.01.2025 11:44 — 👍 0 🔁 0 💬 1 📌 0En 2022, la FFME annonce que l'outil sort de sa phase bêta et va être lancé au grand public. Petit check 🧐, la faille est toujours présente.
J'envoie un autre ticket, réponse automatique "nous avons bien reçu votre rapport de bug", puis silence radio...😪5/7
4 jours plus tard, j'ai eu un entretien visio avec un responsable qui gère le projet.
Une catastrophe. J'ai rapidement compris qu'il était à côté de la plaque et qui ne comprenait pas comment fonctionne internet tout court 😵💫.
La conversation se termine sur "on va regarder"... 🫣
En 10 minutes je tombe par hasard sur une faille (je ne cherchais même pas). Mais un truc grotesque, tellement évidant qu'un stagiaire en 3ème pourrait tomber dessus 😱.
J'ouvre un ticket sur le site de la FFME pour leur signaler le souci et la criticité du problème 🔥
En 2021, la FFME décide de rénover son intranet et recréé from scratch une nouvelle interface 🚀.
Pourquoi pas, bonne idée, l'ancienne version commence à se faire vieillotte.
Avant le lancement, les clubs obtiennent un accès à la version bêta 🧪nous sommes le 2 juillet 2021
La @FFME_officiel vient d'envoyer un email à tous ses adhérants pour les informer que leurs données personnelles ont fuitées ☠️.
Je ne suis pas surpris, je leur ai signalé la faille en Juillet 2021 🤷♂️ !
Il y a putain de 3 ans et demi 🤬!
🧵détails ⤵️ 1/7
The french Moutain and Climbing Sport Federation @FFME_officiel just sent an email to report a data breach ☠️.
All personal information of their members (present and past) was publicly accessible.
I'm not surprised, I warn them about the vulnerability in July 2021 🤷♂️ !
This is how command injection looks like in 2024.
It involves GitHub Actions and a branch names.
github.com/advisories/G...
Thank you @ocramius.mastodon.social.ap.brid.gy for patching roave/security-advisories too
We are in touch with @github.com and mitre.org to definitly withdraw these false report 🤞
hopefully the PHP's community is at its best, and CVE have already been excluded from packagist.org
Thank you Jordi and @glaubinix.bsky.social for the blazing fast fix!
Dude reported false vulnerability reports to cve.mitre.org.
@github.com created advisory for these CVE, and users are now complaining and asking to fix something that does not exist 😢
oui, et le refresh qui scroll au plus récent fait perdre le fil
30.11.2024 17:45 — 👍 1 🔁 0 💬 1 📌 0
#Symfony 7.2 has just been released. Here is a list of curated features symfony.com/blog/symfony...
Big thanks to all the contributors!
convenience over consistency...
this is soo PHP
It doesn't just happen on your open-source project that you need to patch things immediately before the official release
21.11.2024 08:10 — 👍 18 🔁 1 💬 1 📌 1
