Описание
In affected versions of Sylius, exception messages from internal exceptions (like database exception) are wrapped by \Symfony\Component\Security\Core\Exception\AuthenticationServiceException and propagated through the system to UI. Therefore, some internal system information may leak and be visible to the customer. A validation message with the exception details will be presented to the user when one will try to log into the shop. This has been patched in versions 1.3.14, 1.4.10, 1.5.7, and 1.6.3.
Ссылки
- Release Notes
- MitigationThird Party Advisory
- Release Notes
- MitigationThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.3.14 (исключая)Версия от 1.4.0 (включая) до 1.4.10 (исключая)Версия от 1.5.0 (включая) до 1.5.7 (исключая)Версия от 1.6.0 (включая) до 1.6.3 (исключая)
Одно из
cpe:2.3:a:sylius:sylius:*:*:*:*:*:*:*:*
cpe:2.3:a:sylius:sylius:*:*:*:*:*:*:*:*
cpe:2.3:a:sylius:sylius:*:*:*:*:*:*:*:*
cpe:2.3:a:sylius:sylius:*:*:*:*:*:*:*:*
EPSS
Процентиль: 57%
0.00347
Низкий
3.5 Low
CVSS3
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-209
CWE-209
Связанные уязвимости
CVSS3: 3.5
github
около 6 лет назад
Internal exception message exposure for login action in Sylius
EPSS
Процентиль: 57%
0.00347
Низкий
3.5 Low
CVSS3
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-209
CWE-209