Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-q847-2q57-wmr3

Опубликовано: 12 нояб. 2023
Источник: github
Github: Прошло ревью
CVSS3: 6.1

Описание

Symfony potential Cross-site Scripting vulnerabilities in CodeExtension filters

Description

Some Twig filters in CodeExtension use "is_safe=html" but don't actually ensure their input is safe.

Resolution

Symfony now escapes the output of the affected filters.

The patch for this issue is available here for branch 4.4.

Credits

We would like to thank Pierre Rudloff for reporting the issue and to Nicolas Grekas for providing the fix.

Ссылки

Пакеты

Наименование

symfony/twig-bridge

composer
Затронутые версииВерсия исправления

>= 2.0.0, < 4.4.51

4.4.51

Наименование

symfony/twig-bridge

composer
Затронутые версииВерсия исправления

>= 5.0.0, < 5.4.31

5.4.31

Наименование

symfony/twig-bridge

composer
Затронутые версииВерсия исправления

>= 6.0.0, < 6.3.8

6.3.8

Наименование

symfony/symfony

composer
Затронутые версииВерсия исправления

>= 2.0.0, < 4.4.51

4.4.51

Наименование

symfony/symfony

composer
Затронутые версииВерсия исправления

>= 5.0.0, < 5.4.31

5.4.31

Наименование

symfony/symfony

composer
Затронутые версииВерсия исправления

>= 6.0.0, < 6.3.8

6.3.8

EPSS

Процентиль: 79%
0.01296
Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2023-46734

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2023-46734

CVSS3: 6.1
ubuntu
больше 1 года назад

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. Starting in versions 2.0.0, 5.0.0, and 6.0.0 and prior to versions 4.4.51, 5.4.31, and 6.3.8, some Twig filters in CodeExtension use `is_safe=html` but don't actually ensure their input is safe. As of versions 4.4.51, 5.4.31, and 6.3.8, Symfony now escapes the output of the affected filters.

nvd логотип

CVE-2023-46734

CVSS3: 6.1
nvd
больше 1 года назад

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. Starting in versions 2.0.0, 5.0.0, and 6.0.0 and prior to versions 4.4.51, 5.4.31, and 6.3.8, some Twig filters in CodeExtension use `is_safe=html` but don't actually ensure their input is safe. As of versions 4.4.51, 5.4.31, and 6.3.8, Symfony now escapes the output of the affected filters.

debian логотип

CVE-2023-46734

CVSS3: 6.1
debian
больше 1 года назад

Symfony is a PHP framework for web and console applications and a set ...

fstec логотип

BDU:2023-08237

CVSS3: 6.1
fstec
больше 1 года назад

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию, выполнить фишинговые атаки и атаки с диск-загрузкой

redos логотип

ROS-20240806-05

CVSS3: 9.8
redos
11 месяцев назад

Множественные уязвимости php-symfony4

EPSS

Процентиль: 79%
0.01296
Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2023-46734

Дефекты

CWE-79