Sensio Labs Symfony 安全漏洞

CVE编号

CVE-2021-41270

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-11-25

漏洞描述

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。
Symfony 存在安全漏洞，该漏洞源于软件容易受到CSV注入的影响，也被称为公式注入。在Symfony 4.1中，维护人员在“CsvEncoder”中添加了opt-In“csvu escapeu formulas”选项，以在所有以“=”、“+”、“-”或“@”开头的单元格前面加上制表符“ ”。此后，OWASP在该列表中添加了两个字符：制表符（0x09）和回车符（0x0D）。这使得前面的前缀char（Tab` `）成为易受攻击的字符的一部分。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/symfony/symfony/security/advisories/GHSA-2xhg-w2g5-w95x

参考链接
https://github.com/symfony/symfony/commit/3da6f2d45e7536ccb2a26f52fbaf340917e208a8
https://github.com/symfony/symfony/pull/44243
https://github.com/symfony/symfony/releases/tag/v5.3.12
https://github.com/symfony/symfony/security/advisories/GHSA-2xhg-w2g5-w95x
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 4.1.0	Up to (excluding) 4.4.35
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 5.0.0	Up to (excluding) 5.3.12
	运行在以下环境
	系统	debian_10	symfony	*		Up to (excluding) 3.4.22+dfsg-2+deb10u1
	运行在以下环境
	系统	debian_11	symfony	*		Up to (excluding) 4.4.19+dfsg-2+deb11u1
	运行在以下环境
	系统	debian_12	symfony	*		Up to (excluding) 4.4.19+dfsg-2
	运行在以下环境
	系统	debian_9	symfony	*		Up to (excluding) 2.8.7+dfsg-1.3+deb9u3
	运行在以下环境
	系统	debian_sid	symfony	*		Up to (excluding) 4.4.19+dfsg-2
	运行在以下环境
	系统	fedora_34	symfony	*		Up to (excluding) 4.4.35-1.fc34
	运行在以下环境
	系统	fedora_35	symfony	*		Up to (excluding) 4.4.35-1.fc35
查看完整数据

阿里云评分 6.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-1236 Improper Neutralization of Formula Elements in a CSV File