symfonyの1.1系がリリースされています。
セキュリティfixなので1.1系以上を使っている人はお忘れなく。

ref:http://www.symfony-project.org/blog/2008/10/03/symfony-1-1-4-released-security-fix

ちなみにどこが問題かというとsfFormのValidatorで利用できるパラメータの一部がHTMLエスケープされないため、エラー時にXSSが実行される可能性があったというものです。

おもしろいのが、このバグが見つかった経緯です。
前日にファビアンがセキュリティについてのブログを書きました。

ref: http://www.symfony-project.org/blog/2008/10/03/security-must-be-taken-seriously

「セキュリティには十分注意しなければならない」といった記事です。
Railsで定義外の値をうけとっても処理してしまうといった記事を例*1にsymfonyではsfFormで定義していないパラメータは標準でうけとらないし、もしそういう値があればエラーになります。そして受け取りたかったらallow_extra_fieldsオプションを使えばいいから大丈夫なんだよといった内容でした。

すると、そのコメントに今回のXSSの脆弱性について指摘があり*2速攻でリリースされたというわけです。

結局フレームワークを使うから必ず安全という考えはないってことです。フレームワークに限らず開発言語を選択するときもそうなんですけどね。