Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-j5jh-hpr4-h332

Опубликовано: 14 мая 2022
Источник: github
Github: Прошло ревью
CVSS3: 3.1

Описание

Symfony Session Fixation Vulnerability

A session fixation vulnerability within the "Remember Me" login feature allows an attacker to impersonate the victim towards the web application if the session id value was previously known to the attacker. This issue has been fixed in Symfony 2.3.35, 2.6.12, and 2.7.7. Note that no fixes are provided for Symfony 2.4 and 2.5 as they are not maintained anymore. Symfony 2.8 and 3.0 haven't been released yet and the fix will be included in their first stable releases.

Ссылки

Пакеты

Наименование

symfony/symfony

composer
Затронутые версииВерсия исправления

>= 2.3.0, < 2.3.35

2.3.35

Наименование

symfony/symfony

composer
Затронутые версииВерсия исправления

>= 2.4.0, < 2.6.12

2.6.12

Наименование

symfony/symfony

composer
Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.7

2.7.7

Наименование

symfony/security-http

composer
Затронутые версииВерсия исправления

>= 2.4.0, < 2.6.12

2.6.12

Наименование

symfony/security-http

composer
Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.7

2.7.7

Наименование

symfony/security

composer
Затронутые версииВерсия исправления

>= 2.3.0, < 2.3.35

2.3.35

Наименование

symfony/security

composer
Затронутые версииВерсия исправления

>= 2.4.0, < 2.6.12

2.6.12

Наименование

symfony/security

composer
Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.7

2.7.7

EPSS

Процентиль: 56%
0.00338
Низкий

3.1 Low

CVSS3

CVE ID

CVE-2015-8124

Дефекты

CWE-384

Связанные уязвимости

ubuntu логотип

CVE-2015-8124

ubuntu
больше 9 лет назад

Session fixation vulnerability in the "Remember Me" login feature in Symfony 2.3.x before 2.3.35, 2.6.x before 2.6.12, and 2.7.x before 2.7.7 allows remote attackers to hijack web sessions via a session id.

nvd логотип

CVE-2015-8124

nvd
больше 9 лет назад

Session fixation vulnerability in the "Remember Me" login feature in Symfony 2.3.x before 2.3.35, 2.6.x before 2.6.12, and 2.7.x before 2.7.7 allows remote attackers to hijack web sessions via a session id.

debian логотип

CVE-2015-8124

debian
больше 9 лет назад

Session fixation vulnerability in the "Remember Me" login feature in S ...

EPSS

Процентиль: 56%
0.00338
Низкий

3.1 Low

CVSS3

CVE ID

CVE-2015-8124

Дефекты

CWE-384