漏洞信息详情
Sensio Labs Symfony Security组件跨站请求伪造漏洞
- CNNVD编号:CNNVD-201806-848 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2018-11406
- 漏洞类型: 跨站请求伪造
- 发布时间: 2018-06-14
- 威胁类型: 远程
- 更新时间: 2019-04-03
- 厂 商: sensiolabs
- 漏洞来源:
-
漏洞简介
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架,它提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。Security是其中的一个安全组件。
Sensio Labs Symfony中的Security组件存在安全漏洞,该漏洞源于在默认的情况下,用户退出登录时程序没有使用户会话失效。远程攻击者可利用该漏洞执行未授权的操作。以下版本受到影响:Sensio Labs Symfony 2.7.48之前的2.7.x版本,2.8.41之前的2.8.x版本,3.3.17之前的3.3.x版本,3.4.11之前的3.4.x版本,4.0.11之前的4.0.x版本。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://symfony.com/blog/cve-2018-11406-csrf-token-fixation
参考网址
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/UBQK7JDXIELADIPGZIOUCZKMAJM5LSBW/
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/G4XNBMFW33H47O5TZGA7JYCVLDBCXAJV/
来源:DEBIAN
链接:https://www.debian.org/security/2018/dsa-4262
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/WU5N2TZFNGXDGMXMPP7LZCWTFLENF6WH/
来源:CONFIRM
链接:https://symfony.com/blog/cve-2018-11406-csrf-token-fixation
受影响实体
- Sensiolabs Symfony:2.7.0<!--2000-1-1-->
- Sensiolabs Symfony:2.7.0:Beta1<!--2000-1-1-->
- Sensiolabs Symfony:2.7.0:Beta2<!--2000-1-1-->
- Sensiolabs Symfony:2.7.1<!--2000-1-1-->
- Sensiolabs Symfony:2.7.2<!--2000-1-1-->
补丁
- Sensio Labs Symfony Security组件安全漏洞的修复措施<!--2018-6-14-->
还没有评论,来说两句吧...