Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-24895

Опубликовано: 03 фев. 2023
Источник: nvd
CVSS3: 6.3
CVSS3: 8.8
EPSS Низкий

Описание

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. When authenticating users Symfony by default regenerates the session ID upon login, but preserves the rest of session attributes. Because this does not clear CSRF tokens upon login, this might enables same-site attackers to bypass the CSRF protection mechanism by performing an attack similar to a session-fixation. This issue has been fixed in the 4.4 branch.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 2.0.0 (включая) до 4.4.50 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 5.0.0 (включая) до 5.4.20 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 6.0.0 (включая) до 6.0.20 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 6.1.0 (включая) до 6.1.12 (исключая)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*
Версия от 6.2.0 (включая) до 6.2.6 (исключая)

EPSS

Процентиль: 2%
0.00015
Низкий

6.3 Medium

CVSS3

8.8 High

CVSS3

Дефекты

CWE-384
CWE-613

Связанные уязвимости

ubuntu логотип

CVE-2022-24895

CVSS3: 6.3
ubuntu
больше 2 лет назад

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. When authenticating users Symfony by default regenerates the session ID upon login, but preserves the rest of session attributes. Because this does not clear CSRF tokens upon login, this might enables same-site attackers to bypass the CSRF protection mechanism by performing an attack similar to a session-fixation. This issue has been fixed in the 4.4 branch.

debian логотип

CVE-2022-24895

CVSS3: 6.3
debian
больше 2 лет назад

Symfony is a PHP framework for web and console applications and a set ...

github логотип

GHSA-3gv2-29qc-v67m

CVSS3: 6.3
github
больше 2 лет назад

Symfony vulnerable to Session Fixation of CSRF tokens

fstec логотип

BDU:2023-01057

CVSS3: 6.3
fstec
больше 2 лет назад

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с некорректным управлением сеансом, позволяющая нарушителю осуществить CSRF-атаку

redos логотип

ROS-20240806-05

CVSS3: 9.8
redos
11 месяцев назад

Множественные уязвимости php-symfony4

EPSS

Процентиль: 2%
0.00015
Низкий

6.3 Medium

CVSS3

8.8 High

CVSS3

Дефекты

CWE-384
CWE-613