Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01855

Опубликовано: 18 нояб. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольный код

Вендор

Сообщество свободного программного обеспечения
Fedora Project
SensioLabs, symfony community

Наименование ПО

Debian GNU/Linux
Fedora
Symfony

Версия ПО

9 (Debian GNU/Linux)
8.0 (Debian GNU/Linux)
10 (Debian GNU/Linux)
31 (Fedora)
от 3.4.0 до 3.4.34 включительно (Symfony)
от 4.2.0 до 4.2.11 включительно (Symfony)
от 4.3.0 до 4.3.7 включительно (Symfony)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Symfony:
https://github.com/symfony/symfony/releases/tag/v4.3.8
https://symfony.com/blog/symfony-4-3-8-released
https://symfony.com/blog/cve-2019-18889-forbid-serializing-abstractadapter-and-tagawareadapter-instances
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4573

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02554
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-18889

CVSS3: 9.8
ubuntu
больше 5 лет назад

An issue was discovered in Symfony 3.4.0 through 3.4.34, 4.2.0 through 4.2.11, and 4.3.0 through 4.3.7. Serializing certain cache adapter interfaces could result in remote code injection. This is related to symfony/cache.

nvd логотип

CVE-2019-18889

CVSS3: 9.8
nvd
больше 5 лет назад

An issue was discovered in Symfony 3.4.0 through 3.4.34, 4.2.0 through 4.2.11, and 4.3.0 through 4.3.7. Serializing certain cache adapter interfaces could result in remote code injection. This is related to symfony/cache.

debian логотип

CVE-2019-18889

CVSS3: 9.8
debian
больше 5 лет назад

An issue was discovered in Symfony 3.4.0 through 3.4.34, 4.2.0 through ...

github логотип

GHSA-79gr-58r3-pwm3

CVSS3: 9.8
github
больше 5 лет назад

Symfony Unsafe Cache Serialization Could Enable RCE

EPSS

Процентиль: 85%
0.02554
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2