Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-16652

Опубликовано: 13 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 5.8
EPSS Низкий

Описание

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 2.7.0 (исключая) до 2.7.38 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 2.8.0 (исключая) до 2.8.31 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 3.2.0 (исключая) до 3.2.14 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 3.3.0 (включая) до 3.3.13 (исключая)
Конфигурация 2
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 45%
0.00222
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-601

Связанные уязвимости

ubuntu логотип

CVE-2017-16652

CVSS3: 6.1
ubuntu
около 7 лет назад

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

debian логотип

CVE-2017-16652

CVSS3: 6.1
debian
около 7 лет назад

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2 ...

github логотип

GHSA-r7p7-qr7p-2rrf

CVSS3: 6.1
github
около 3 лет назад

Symfony Open Redirect

fstec логотип

BDU:2019-04112

CVSS3: 6.1
fstec
больше 7 лет назад

Уязвимость компонентов DefaultAuthenticationSuccessHandler, DefaultAuthenticationFailureHandler программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации

EPSS

Процентиль: 45%
0.00222
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-601