exploitDog

GHSA-r7p7-qr7p-2rrf

Опубликовано: 14 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

Symfony Open Redirect

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

Ссылки

Пакеты

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.38

2.7.38

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.31

2.8.31

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 3.2.0, < 3.2.14

3.2.14

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.13

3.3.13

Наименование

symfony/security-http

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.38

2.7.38

Наименование

symfony/security-http

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.31

2.8.31

Наименование

symfony/security-http

composer

Затронутые версииВерсия исправления

>= 3.2.0, < 3.2.14

3.2.14

Наименование

symfony/security-http

composer

Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.13

3.3.13

Наименование

symfony/security

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.38

2.7.38

Наименование

symfony/security

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.31

2.8.31

Наименование

symfony/security

composer

Затронутые версииВерсия исправления

>= 3.2.0, < 3.2.14

3.2.14

Наименование

symfony/security

composer

Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.13

3.3.13

EPSS

Процентиль: 45%

0.00222

Низкий

6.1 Medium

CVSS3

CVE ID

Дефекты

CWE-601

Связанные уязвимости

CVE-2017-16652

CVSS3: 6.1

ubuntu

около 7 лет назад

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

CVE-2017-16652

CVSS3: 6.1

nvd

около 7 лет назад

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

CVE-2017-16652

CVSS3: 6.1

debian

около 7 лет назад

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2 ...

BDU:2019-04112

CVSS3: 6.1

fstec

больше 7 лет назад

Уязвимость компонентов DefaultAuthenticationSuccessHandler, DefaultAuthenticationFailureHandler программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации

EPSS

Процентиль: 45%

0.00222

Низкий

6.1 Medium

CVSS3

CVE ID

Дефекты

CWE-601