漏洞标题
由于在sfNamespacedParameterHolder中对未经控制的反序列化输入处理不当,Symfony 1中的小工具链受到了影响。
漏洞描述信息
Symfony 1 是一个由社区驱动的 Symfony(一个 PHP 的 Web 项目框架)1.x 分支的分支。从 1.1.0 版本开始,直到 1.5.19 版本之前,Symfony 1 因 `sfNamespacedParameterHolder` 类中危险的反序列化导致 gadget 链。如果开发者在他们的项目中反序列化用户输入,攻击者可能会利用这个漏洞执行远程代码。版本 1.5.19 包含了对这个问题的补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
可信数据的反序列化
漏洞标题
Gadget chain in Symfony 1 due to uncontrolled unserialized input in sfNamespacedParameterHolder
漏洞描述信息
Symfony 1 is a community-driven fork of the 1.x branch of Symfony, a PHP framework for web projects. Starting in version 1.1.0 and prior to version 1.5.19, Symfony 1 has a gadget chain due to dangerous deserialization in `sfNamespacedParameterHolder` class that would enable an attacker to get remote code execution if a developer deserializes user input in their project. Version 1.5.19 contains a patch for the issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
可信数据的反序列化
漏洞标题
Symfony 安全漏洞
漏洞描述信息
Symfony是Symfony公司的一个用于 Web 和控制台应用程序的 PHP 框架以及一组可重用的 PHP 组件。 Symfony 1.1.0版本至1.5.19之前版本存在安全漏洞。攻击者利用该漏洞可以远程执行代码。
CVSS信息
N/A
漏洞类别
其他