Sensio Labs Symfony Password validator 访问控制错误漏洞

CVE编号

CVE-2017-11365

利用情况

暂无

补丁情况

N/A

披露时间

2019-05-24

漏洞描述

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。Password validator是其中的一个密码验证程序。
Sensio Labs Symfony中的Password validator存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。攻击者可利用该漏洞获取网站访问权限。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/symfony/symfony/commit/878198cefae028386c6dc800ccbf18f2b9cbff3f

参考链接
https://github.com/symfony/symfony/commit/878198cefae028386c6dc800ccbf18f2b9cbff3f
https://github.com/symfony/symfony/pull/23507

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	sensiolabs	symfony	2.7.30	-
	运行在以下环境
	应用	sensiolabs	symfony	2.8.23	-
	运行在以下环境
	应用	sensiolabs	symfony	3.2.10	-
	运行在以下环境
	应用	sensiolabs	symfony	3.3.3	-
	运行在以下环境
	系统	ubuntu_18.04_lts	symfony	*		Up to (excluding) 3.4.6+dfsg-1

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-284 访问控制不恰当

正文

Sensio Labs Symfony Password validator 访问控制错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]