漏洞信息详情
Sensio Labs Symfony Ldap组件安全漏洞
- CNNVD编号:CNNVD-201806-847 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2018-11407
- 漏洞类型: 授权问题
- 发布时间: 2018-06-14
- 威胁类型: 远程
- 更新时间: 2018-06-14
- 厂 商: sensiolabs
- 漏洞来源:
-
漏洞简介
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架,它提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。Ldap component是其中的一个轻量级目录访问协议组件。
Sensio Labs Symfony中的Ldap组件存在安全漏洞。远程攻击者可借助有效的用户名和空密码进行登录利用该漏洞绕过身份验证。以下版本受到影响:Sensio Labs Symfony 2.8.37之前的2.8.x版本,3.3.17之前的3.3.x版本,3.4.7之前的3.4.x版本,4.0.7之前的4.0.x版本。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://symfony.com/blog/cve-2018-11407-unauthorized-access-on-a-misconfigured-ldap-server-when-using-an-empty-password
参考网址
来源:symfony.com
链接:https://symfony.com/blog/cve-2018-11407-unauthorized-access-on-a-misconfigured-ldap-server-when-using-an-empty-password
受影响实体
- Sensiolabs Symfony:2.8.0<!--2000-1-1-->
- Sensiolabs Symfony:2.8.0:Beta1<!--2000-1-1-->
- Sensiolabs Symfony:2.8.1<!--2000-1-1-->
- Sensiolabs Symfony:2.8.2<!--2000-1-1-->
- Sensiolabs Symfony:2.8.3<!--2000-1-1-->
补丁
- Sensio Labs Symfony Ldap组件安全漏洞的修复措施<!--2018-6-14-->
还没有评论,来说两句吧...