exploitDog

GHSA-pgwj-prpq-jpc2

Опубликовано: 18 нояб. 2019

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Symfony Service IDs Allow Injection

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

Ссылки

Пакеты

Наименование

symfony/dependency-injection

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.51

2.7.51

Наименование

symfony/dependency-injection

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/dependency-injection

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/dependency-injection

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/dependency-injection

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

Наименование

symfony/proxy-manager-bridge

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.51

2.7.51

Наименование

symfony/proxy-manager-bridge

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/proxy-manager-bridge

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/proxy-manager-bridge

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/proxy-manager-bridge

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.51

2.7.51

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

EPSS

Процентиль: 94%

0.12502

Средний

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-89

Связанные уязвимости

CVE-2019-10910

CVSS3: 9.8

ubuntu

больше 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

CVE-2019-10910

CVSS3: 9.8

nvd

больше 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

CVE-2019-10910

CVSS3: 9.8

debian

больше 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x ...

BDU:2019-03343

CVSS3: 9.8

fstec

больше 6 лет назад

Уязвимость идентификатора служб «symfony/dependency-injection» программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием мер по защите структур SQL запросов, позволяющая нарушителю выполнить произвольный код через SQL-инъекцию

EPSS

Процентиль: 94%

0.12502

Средний

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-89