Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04243

Опубликовано: 25 мая 2018
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony связана с ошибками управления сеансом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

Сообщество свободного программного обеспечения
Fedora Project
ООО «РусБИТех-Астра»
SensioLabs, symfony community

Наименование ПО

Debian GNU/Linux
Fedora
Astra Linux Special Edition
Symfony

Версия ПО

9 (Debian GNU/Linux)
28 (Fedora)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
от 2.7.0 до 2.7.48 (Symfony)
от 2.8.0 до 2.8.41 (Symfony)
от 3.3.0 до 3.3.17 (Symfony)
от 3.4.0 до 3.4.11 (Symfony)
от 4.0.0 до 4.0.11 (Symfony)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Fedora Project Fedora 28
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
Для Symfony:
https://symfony.com/blog/cve-2018-11385-session-fixation-issue-for-guard-authentication
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00009.html
https://www.debian.org/security/2018/dsa-4262
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G4XNBMFW33H47O5TZGA7JYCVLDBCXAJV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UBQK7JDXIELADIPGZIOUCZKMAJM5LSBW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WU5N2TZFNGXDGMXMPP7LZCWTFLENF6WH/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00952
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-11385

CVSS3: 8.1
ubuntu
около 7 лет назад

An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. A session fixation vulnerability within the "Guard" login feature may allow an attacker to impersonate a victim towards the web application if the session id value was previously known to the attacker.

nvd логотип

CVE-2018-11385

CVSS3: 8.1
nvd
около 7 лет назад

An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. A session fixation vulnerability within the "Guard" login feature may allow an attacker to impersonate a victim towards the web application if the session id value was previously known to the attacker.

debian логотип

CVE-2018-11385

CVSS3: 8.1
debian
около 7 лет назад

An issue was discovered in the Security component in Symfony 2.7.x bef ...

github логотип

GHSA-g4rg-rw65-8hfg

CVSS3: 8.1
github
около 3 лет назад

Symfony Session Fixation Vulnerability

EPSS

Процентиль: 75%
0.00952
Низкий

8.1 High

CVSS3

7.6 High

CVSS2