exploitDog

CVE-2019-10910

Опубликовано: 16 мая 2019

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Средний

Описание

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

Ссылки

https://github.com/symfony/symfony/commit/d2fb5893923292a1da7985f0b56960b5bb10737b
Patch
https://symfony.com/blog/cve-2019-10910-check-service-ids-are-valid
Exploit
Third Party Advisory
https://www.synology.com/security/advisory/Synology_SA_19_19
Third Party Advisory
https://github.com/symfony/symfony/commit/d2fb5893923292a1da7985f0b56960b5bb10737b
Patch
https://symfony.com/blog/cve-2019-10910-check-service-ids-are-valid
Exploit
Third Party Advisory
https://www.synology.com/security/advisory/Synology_SA_19_19
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.51 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 2.8.0 (включая) до 2.8.50 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 3.4.0 (включая) до 3.4.26 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 4.1.0 (включая) до 4.1.12 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 4.2.0 (включая) до 4.2.7 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.5.0 (включая) до 8.5.15 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.6.0 (включая) до 8.6.15 (исключая)

EPSS

Процентиль: 95%

0.18147

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-89

Связанные уязвимости

CVE-2019-10910

CVSS3: 9.8

ubuntu

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, when service ids allow user input, this could allow for SQL Injection and remote code execution. This is related to symfony/dependency-injection.

CVE-2019-10910

CVSS3: 9.8

debian

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x ...

GHSA-pgwj-prpq-jpc2

CVSS3: 9.8

github

больше 5 лет назад

Symfony Service IDs Allow Injection

BDU:2019-03343

CVSS3: 9.8

fstec

около 6 лет назад

Уязвимость идентификатора служб «symfony/dependency-injection» программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием мер по защите структур SQL запросов, позволяющая нарушителю выполнить произвольный код через SQL-инъекцию

EPSS

Процентиль: 95%

0.18147

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-89