Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03343

Опубликовано: 17 апр. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость идентификатора служб «symfony/dependency-injection» программной платформы для разработки и управления веб-приложениями Symfony связана с отсутствием мер по защите структур SQL запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код через SQL-инъекцию

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
SensioLabs, symfony community

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Symfony
Astra Linux Special Edition для «Эльбрус»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
от 2.7.0 до 2.7.51 (Symfony)
от 2.8.0 до 2.8.50 (Symfony)
от 3.0.0 до 3.4.26 (Symfony)
от 4.1.0 до 4.1.12 (Symfony)
от 4.2.0 до 4.2.7 (Symfony)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для symfony:
Обновление программного обеспечения до 3.4.22+dfsg-2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u2 или более поздней версии
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41192827

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.18147
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10910

CVSS3: 9.8
ubuntu
около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

nvd логотип

CVE-2019-10910

CVSS3: 9.8
nvd
около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

debian логотип

CVE-2019-10910

CVSS3: 9.8
debian
около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x ...

github логотип

GHSA-pgwj-prpq-jpc2

CVSS3: 9.8
github
больше 5 лет назад

Symfony Service IDs Allow Injection

EPSS

Процентиль: 95%
0.18147
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2