exploitDog

CVE-2019-10913

Опубликовано: 16 мая 2019

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, HTTP Methods provided as verbs or using the override header may be treated as trusted input, but they are not validated, possibly causing SQL injection or XSS. This is related to symfony/http-foundation.

Ссылки

https://github.com/symfony/symfony/commit/944e60f083c3bffbc6a0b5112db127a10a66a8ec
Patch
Third Party Advisory
https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides
Third Party Advisory
https://github.com/symfony/symfony/commit/944e60f083c3bffbc6a0b5112db127a10a66a8ec
Patch
Third Party Advisory
https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.51 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 2.8.0 (включая) до 2.8.50 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 3.4.0 (включая) до 3.4.26 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 4.1.0 (включая) до 4.1.12 (исключая)

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

Версия от 4.2.0 (включая) до 4.2.7 (исключая)

EPSS

Процентиль: 49%

0.00257

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-79

Связанные уязвимости

CVE-2019-10913

CVSS3: 9.8

ubuntu

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, HTTP Methods provided as verbs or using the override header may be treated as trusted input, but they are not validated, possibly causing SQL injection or XSS. This is related to symfony/http-foundation.

CVE-2019-10913

CVSS3: 9.8

debian

около 6 лет назад

In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x ...

GHSA-x92h-wmg2-6hp7

CVSS3: 9.8

github

больше 5 лет назад

Invalid HTTP method overrides allow possible XSS or other attacks in Symfony

BDU:2020-00702

CVSS3: 9.8

fstec

около 6 лет назад

Уязвимость функции «setMethod» (symfony/http-foundation) программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием мер по защите структур SQL запросов, позволяющая нарушителю выполнить произвольный код через SQL-инъекцию

EPSS

Процентиль: 49%

0.00257

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-79