Symfony < 5.4.51 / 6.4.x < 6.4.33 / 7.3.x < 7.3.11 / 7.4.x < 7.4.5 / 8.0.x < 8.0.5 进程组件参数注入 (GHSA-r39x-jcww-82v6)
medium Nessus 插件 ID 298792
语言:
简介
远程主机上安装的 PHP 库受到参数注入漏洞的影响。描述
远程主机上安装的 Symfony 版本低于 5.4.51或 6.4.x 低于 6.4.33或 7.3.x 低于 7.3.11或 7.4.x 低于 7.4.5或 8.0.x 低于 8.0.5。因而会受到 Process 组件中一个参数注入漏洞的影响。在 Windows 中转义参数时Symfony Process 组件未正确将某些字符尤其是“=”视为特殊字符。当从基于 MSYS2 的环境如 Git Bash执行 PHP且 Symfony Process 生成本机 Windows 可执行文件时MSYS2 的参数/路径转换可错误处理包含这些字符的无引号参数。与 Symfony 的预期相比这可导致生成的进程接收损坏/截断的参数。如果应用程序使用 Symfony 进程来调用文件管理命令路径参数中包含“=”则 MSYS2 转换层可能会在运行时更改参数。在受影响的设置中这可导致在非预期路径上执行操作直到并包括删除范围更广的目录或驱动器内容。请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。另请注意,此插件不区分通过操作系统程序包管理器安装的 PHP 程序包、通过 Composer 或其他来源安装的 PHP 程序包。因此,操作系统程序包存储库提供的程序包可能具有向后移植修复程序,但此插件可能会错误地将这些修复程序报告为漏洞。请参阅 CVE-2026-24739 的特定操作系统插件,以检查有无向后移植修复程序。
解决方案
升级到 Symfony 版本 5.4.51、 6.4.33、 7.3.11、 7.4.5、 8.0.5 或更高版本。另见
插件详情
严重性: Medium
ID: 298792
文件名: symfony_CVE-2026-24739.nasl
版本: 1.2
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/2/12
最近更新时间: 2026/2/13
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 5.6
时间分数: 4.4
矢量: CVSS2#AV:L/AC:H/Au:N/C:N/I:C/A:C
CVSS 分数来源: CVE-2026-24739
CVSS v3
风险因素: Medium
基本分数: 6.3
时间分数: 5.7
矢量: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/a:sensiolabs:symfony
必需的 KB 项: language_library/package/composer/enumerated
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/1/28
漏洞发布日期: 2026/1/28
参考资料信息
CVE: CVE-2026-24739
IAVB: 2026-B-0029