CVE-2017-16653

Опубликовано: 06 авг. 2018

Источник: ubuntu

Приоритет: medium

EPSS Низкий

CVSS2: 4.3

CVSS3: 5.9

Описание

An issue was discovered in Symfony before 2.7.38, 2.8.31, 3.2.14, 3.3.13, 3.4-BETA5, and 4.0-BETA5. The current implementation of CSRF protection in Symfony (Version >=2) does not use different tokens for HTTP and HTTPS; therefore the token is subject to MITM attacks on HTTP and can then be used in an HTTPS context to do CSRF attacks.

Релиз	Статус	Примечание
bionic	not-affected	3.4.6+dfsg-1
cosmic	not-affected	3.4.15+dfsg-2ubuntu4
devel	not-affected	3.4.15+dfsg-2ubuntu4
disco	not-affected	3.4.15+dfsg-2ubuntu4
eoan	not-affected	3.4.15+dfsg-2ubuntu4
esm-apps/bionic	not-affected	3.4.6+dfsg-1
esm-apps/focal	not-affected	3.4.15+dfsg-2ubuntu4
esm-apps/jammy	not-affected	3.4.15+dfsg-2ubuntu4
esm-apps/noble	not-affected	3.4.15+dfsg-2ubuntu4
esm-apps/xenial	needed

Показывать по

Ссылки на источники

EPSS

Процентиль: 57%

0.00357

Низкий

4.3 Medium

CVSS2

5.9 Medium

CVSS3

Связанные уязвимости

CVE-2017-16653

CVSS3: 5.9

nvd

почти 7 лет назад

CVE-2017-16653

CVSS3: 5.9

debian

почти 7 лет назад

An issue was discovered in Symfony before 2.7.38, 2.8.31, 3.2.14, 3.3. ...

GHSA-92x6-h2gr-8gxq

CVSS3: 5.9

github

около 3 лет назад

Symfony CSRF Vulnerability

BDU:2019-04113

CVSS3: 5.9

fstec

больше 7 лет назад

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием использования различных CSRF-токенов для HTTP и HTTPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 57%

0.00357

Низкий

4.3 Medium

CVSS2

5.9 Medium

CVSS3

CVE-2017-16653

Описание

Пакет symfony

Ссылки на источники

Связанные уязвимости