一、 漏洞 CVE-2024-50345 基础信息
漏洞标题
Symfony组件存在开放重定向漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Symfony/http-foundation 是 Symfony PHP 框架的一个模块,它定义了 HTTP 规范的对象层次。`Request` 类无法像浏览器那样解析包含特殊字符的 URI。因此,攻击者可以利用依赖于 `Request` 类的验证器,将用户重定向到另一个域。`Request::create` 方法现在会确保 URI 不包含无效字符,这些无效字符的定义参见 https://url.spec.whatwg.org/。此漏洞已在版本 5.4.46、6.4.14 和 7.1.7 中修复。建议用户升级。目前尚无已知的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:AIGC 神龙大模型
漏洞标题
Open redirect via browser-sanitized URLs in symfony/http-foundation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
symfony/http-foundation is a module for the Symphony PHP framework which defines an object-oriented layer for the HTTP specification. The `Request` class, does not parse URI with special characters the same way browsers do. As a result, an attacker can trick a validator relying on the `Request` class to redirect users to another domain. The `Request::create` methods now assert the URI does not contain invalid characters as defined by https://url.spec.whatwg.org/. This issue has been patched in versions 5.4.46, 6.4.14, and 7.1.7. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:美国国家漏洞数据库 NVD
漏洞标题
Symfony 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Symfony是Symfony公司的一个用于 Web 和控制台应用程序的 PHP 框架以及一组可重用的 PHP 组件。 Symfony存在输入验证错误漏洞,该漏洞源于攻击者可以欺骗依赖Request类的验证器将用户重定向到另一个域。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-50345 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-50345 的情报信息