检测

Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不当输入处理

high Web App Scanning 插件 ID 114497

语言:

简介

Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不当输入处理

描述

当 register_argc_argv php 指令设置为“on”,并且用户使用特别构建的查询字符串调用任何 URL 时,低于 5.4.46 的 Symfony 版本或低于 6.x 的 6.4.14 或低于 7.x 的 7.1.7 版本容易受到影响处理请求时内核使用的环境或调试模式。

请注意,由于易受攻击的 Symfony 组件内嵌于 Laravel 中,该插件可能会检测到易受攻击的 Laravel 实例。

解决方案

升级至 5.4.46、6.4.14 或 7.1.7 或更高版本。

另见

https://github.com/symfony/symfony/commit/a77b308c3f179ed7c8a8bc295f82b2d6ee3493fa

https://symfony.com/blog/cve-2024-50340-ability-to-change-environment-from-query

插件详情

严重性: High

ID: 114497

类型: remote

发布时间: 2024/11/7

最近更新时间: 2024/11/20

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2024-50340

CVSS v3

风险因素: High

基本分数: 7.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 分数来源: CVE-2024-50340

CVSS v4

风险因素: High

Base Score: 8.7

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2024-52301

漏洞信息

CPE: cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/11/5

漏洞发布日期: 2024/11/5

参考资料信息

CVE: CVE-2024-50340, CVE-2024-52301