根据其自我报告的版本号，检测到的 Drupal 应用程序受到 Symfony 库 X-Original-URL 和 X-Rewrite-URL HTTP 标头支持中一个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Web 应用程序组件有时可能要靠 'X-Original-URL' 或 'X-Rewrite-URL' 等 HTTP 请求标头来替代此请求的原始路径。攻击者可利用此漏洞发动进一步攻击，以绕过限制或发动缓存中毒攻击。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例版本为低于 8.5.6 的 8.x。因而受到在嵌入式 Symfony 库中限制绕过漏洞的影响。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

在 Symfony PHP 架构中发现多个漏洞，这些漏洞可导致缓存绕过、验证绕过、信息泄漏、开放重定向、跨站请求伪造、任意文件删除，或任意代码执行。

在 PHP Web 应用程序框架 symfony 中，已发现多个安全漏洞。多个 symfony 组件受到影响：Security、bundle readers、session handling、SecurityBundle、HttpFoundation、Form 和 Security\Http。相应的上游公告包含更详细的信息：[CVE-2017-16652] https://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on -security-handlers [CVE-2017-16654] https://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-o ut-of-paths [CVE-2018-11385] https://symfony.com/blog/cve-2018-11385-session-fixation-issue-for-gua rd-authentication [CVE-2018-11408] https://symfony.com/blog/cve-2018-11408-open-redirect-vulnerability-on -security-handlers [CVE-2018-14773] https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and- risky-http-headers [CVE-2018-19789] https://symfony.com/blog/cve-2018-19789-disclosure-of-uploaded-files-f ull-path [CVE-2018-19790] https://symfony.com/blog/cve-2018-19790-open-redirect-vulnerability-wh en-using-security-http 对于 Debian 8“Jessie”，这些问题已在 2.3.21+dfsg-4+deb8u4 版本中修复。我们建议您升级 symfony 程序包。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
98581	Drupal 8.x < 8.5.6 Symfony 旧 HTTP 标头漏洞	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	medium
98580	Drupal 8.6.x < 8.6.0-beta2 Symfony 旧 HTTP 标头漏洞	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	medium
114262	请求 URL 替代	Web App Scanning	Web Applications	2024/4/22	2024/4/22	medium
111599	Drupal 8.x < 8.5.6 Symfony Risky HTTP 标头限制绕过漏洞 (SA-CORE-2018-005)	Nessus	CGI abuses	2018/8/9	2022/4/11	medium
124779	Debian DSA-4441-1：symfony - 安全更新	Nessus	Debian Local Security Checks	2019/5/13	2024/5/24	critical
122721	Debian DLA-1707-1：symfony 安全更新	Nessus	Debian Local Security Checks	2019/3/11	2024/6/14	high

检测

插件搜索

medium

medium

medium

medium

critical

high