exploitDog

GHSA-w2fr-65vp-mxw3

Опубликовано: 12 фев. 2020

Источник: github

Github: Прошло ревью

CVSS3: 7.1

Описание

Deserialization of untrusted data in Symfony

In Symfony before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, it is possible to cache objects that may contain bad user input. On serialization or unserialization, this could result in the deletion of files that the current user has access to. This is related to symfony/cache and symfony/phpunit-bridge.

Ссылки

Пакеты

Наименование

symfony/cache

composer

Затронутые версииВерсия исправления

>= 3.1.0, < 3.4.26

3.4.26

Наименование

symfony/cache

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/cache

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

Наименование

symfony/phpunit-bridge

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/phpunit-bridge

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/phpunit-bridge

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/phpunit-bridge

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

Наименование

typo3/cms-core

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.8

9.5.8

Наименование

typo3/cms

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.8

9.5.8

EPSS

Процентиль: 74%

0.00854

Низкий

7.1 High

CVSS3

CVE ID

Дефекты

CWE-502

Связанные уязвимости

CVE-2019-10912

CVSS3: 7.1

ubuntu

около 6 лет назад

In Symfony before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, it is possible to cache objects that may contain bad user input. On serialization or unserialization, this could result in the deletion of files that the current user has access to. This is related to symfony/cache and symfony/phpunit-bridge.

CVE-2019-10912

CVSS3: 7.1

nvd

около 6 лет назад

In Symfony before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, it is possible to cache objects that may contain bad user input. On serialization or unserialization, this could result in the deletion of files that the current user has access to. This is related to symfony/cache and symfony/phpunit-bridge.

CVE-2019-10912

CVSS3: 7.1

debian

около 6 лет назад

In Symfony before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4. ...

BDU:2020-00707

CVSS3: 7.1

fstec

около 6 лет назад

Уязвимость функций __sleep и __wakeup программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 74%

0.00854

Низкий

7.1 High

CVSS3

CVE ID

Дефекты

CWE-502