漏洞标题
N/A
漏洞描述信息
在 Symfony 2.7.x 版本在 2.7.48 之前、2.8.x 版本在 2.8.41 之前、3.3.x 版本在 3.3.17 之前、3.4.x 版本在 3.4.11 之前和 4.0.x 版本在 4.0.11 之前发现了一个问题。默认情况下,当用户注销时,用户的会话将被 invalidate。可以通过 invalidate_session 选项禁用此行为。在这种情况下,注销过程中并没有清除 CSRF 令牌,这允许对 CSRF 令牌进行 fix。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. By default, a user's session is invalidated when the user is logged out. This behavior can be disabled through the invalidate_session option. In this case, CSRF tokens were not erased during logout which allowed for CSRF token fixation.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Sensio Labs Symfony Security组件跨站请求伪造漏洞
漏洞描述信息
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架,它提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。Security是其中的一个安全组件。 Sensio Labs Symfony中的Security组件存在安全漏洞,该漏洞源于在默认的情况下,用户退出登录时程序没有使用户会话失效。远程攻击者可利用该漏洞执行未授权的操作。以下版本受到影响:Sensio Labs Symfony 2.7.48之前的2.7.x版本,2.8.41之前的2.
CVSS信息
N/A
漏洞类别
跨站请求伪造