Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2015-4050

Опубликовано: 02 июн. 2015
Источник: nvd
CVSS2: 4.3
EPSS Высокий

Описание

FragmentListener in the HttpKernel component in Symfony 2.3.19 through 2.3.28, 2.4.9 through 2.4.10, 2.5.4 through 2.5.11, and 2.6.0 through 2.6.7, when ESI or SSI support enabled, does not check if the _controller attribute is set, which allows remote attackers to bypass URL signing and security rules by including (1) no hash or (2) an invalid hash in a request to /_fragment.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sensiolabs:symfony:2.3.19:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.20:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.21:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.22:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.23:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.24:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.25:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.26:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.27:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.3.28:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.4.9:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.4.10:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.4:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.5:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.6:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.7:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.8:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.9:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.10:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.5.11:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.0:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.1:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.3:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.4:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.5:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.6:*:*:*:*:*:*:*
cpe:2.3:a:sensiolabs:symfony:2.6.7:*:*:*:*:*:*:*

EPSS

Процентиль: 99%
0.76192
Высокий

4.3 Medium

CVSS2

Дефекты

CWE-284

Связанные уязвимости

ubuntu логотип

CVE-2015-4050

ubuntu
около 10 лет назад

FragmentListener in the HttpKernel component in Symfony 2.3.19 through 2.3.28, 2.4.9 through 2.4.10, 2.5.4 through 2.5.11, and 2.6.0 through 2.6.7, when ESI or SSI support enabled, does not check if the _controller attribute is set, which allows remote attackers to bypass URL signing and security rules by including (1) no hash or (2) an invalid hash in a request to /_fragment.

debian логотип

CVE-2015-4050

debian
около 10 лет назад

FragmentListener in the HttpKernel component in Symfony 2.3.19 through ...

github логотип

GHSA-qmqw-mpqp-mr54

github
около 3 лет назад

Symfony Incorrect Access Control

EPSS

Процентиль: 99%
0.76192
Высокий

4.3 Medium

CVSS2

Дефекты

CWE-284