exploitDog

GHSA-x92h-wmg2-6hp7

Опубликовано: 02 дек. 2019

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Invalid HTTP method overrides allow possible XSS or other attacks in Symfony

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, HTTP Methods provided as verbs or using the override header may be treated as trusted input, but they are not validated, possibly causing SQL injection or XSS. This is related to symfony/http-foundation.

Ссылки

Пакеты

Наименование

symfony/http-foundation

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.51

2.7.51

Наименование

symfony/http-foundation

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/http-foundation

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/http-foundation

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/http-foundation

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.7.0, < 2.7.51

2.7.51

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.50

2.8.50

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 3.0.0, < 3.4.26

3.4.26

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.12

4.1.12

Наименование

symfony/symfony

composer

Затронутые версииВерсия исправления

>= 4.2.0, < 4.2.7

4.2.7

EPSS

Процентиль: 49%

0.00257

Низкий

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-79

CWE-89

Связанные уязвимости

CVE-2019-10913

CVSS3: 9.8

ubuntu

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, HTTP Methods provided as verbs or using the override header may be treated as trusted input, but they are not validated, possibly causing SQL injection or XSS. This is related to symfony/http-foundation.

CVE-2019-10913

CVSS3: 9.8

nvd

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, HTTP Methods provided as verbs or using the override header may be treated as trusted input, but they are not validated, possibly causing SQL injection or XSS. This is related to symfony/http-foundation.

CVE-2019-10913

CVSS3: 9.8

debian

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x ...

BDU:2020-00702

CVSS3: 9.8

fstec

около 6 лет назад

Уязвимость функции «setMethod» (symfony/http-foundation) программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием мер по защите структур SQL запросов, позволяющая нарушителю выполнить произвольный код через SQL-инъекцию

EPSS

Процентиль: 49%

0.00257

Низкий

9.8 Critical

CVSS3

CVE ID

Дефекты

CWE-79

CWE-89