Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10934

Опубликовано: 07 фев. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость класса FormLoginAuthenticator программной платформы для разработки и управления веб-приложениями Symfony связана с игнорированием пустого поля имени пользователя или пароля при выполнении процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и вызвать отказ в обслуживании

Вендор

SensioLabs, symfony community

Наименование ПО

Symfony

Версия ПО

до 7.1.0 (Symfony)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/symfony/symfony/commit/a804ca15fcad279d7727b91d12a667fd5b925995
https://github.com/symfony/symfony/pull/59079
https://github.com/symfony/symfony/commit/d5919dd72ac694cca8e3d5d828f0cb894c981fe6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 72%
0.00727
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-36611

CVSS3: 7.5
ubuntu
7 месяцев назад

In Symfony v7.07, a security vulnerability was identified in the FormLoginAuthenticator component, where it failed to adequately handle cases where the username or password field of a login request is empty. This flaw could lead to various security risks, including improper authentication logic handling or denial of service. NOTE: the Supplier has concluded that this is a false report.

nvd логотип

CVE-2024-36611

CVSS3: 7.5
nvd
7 месяцев назад

In Symfony v7.07, a security vulnerability was identified in the FormLoginAuthenticator component, where it failed to adequately handle cases where the username or password field of a login request is empty. This flaw could lead to various security risks, including improper authentication logic handling or denial of service. NOTE: the Supplier has concluded that this is a false report.

debian логотип

CVE-2024-36611

CVSS3: 7.5
debian
7 месяцев назад

In Symfony v7.07, a security vulnerability was identified in the FormL ...

github логотип

GHSA-7q22-x757-cmgc

CVSS3: 7.5
github
7 месяцев назад

Withdrawn Advisory: Symfony http-security has authentication bypass

EPSS

Процентиль: 72%
0.00727
Низкий

7.5 High

CVSS3

7.8 High

CVSS2