Логотип exploitDog
product: "symfony"
Консоль
Логотип exploitDog

exploitDog

product: "symfony"
Symfony

Symfonyфреймворк c открытым исходным кодом, написанный на PHP.

Релизный цикл, информация об уязвимостях

Продукт: Symfony
Вендор: SensioLabs

График релизов

5.46.16.26.37.06.47.17.27.32021202220232024202520262027202820292030

Недавние уязвимости Symfony

Количество 244

debian логотип

CVE-2022-24894

больше 2 лет назад

Symfony is a PHP framework for web and console applications and a set ...

CVSS3: 5.9
EPSS: Низкий
ubuntu логотип

CVE-2022-24895

больше 2 лет назад

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. When authenticating users Symfony by default regenerates the session ID upon login, but preserves the rest of session attributes. Because this does not clear CSRF tokens upon login, this might enables same-site attackers to bypass the CSRF protection mechanism by performing an attack similar to a session-fixation. This issue has been fixed in the 4.4 branch.

CVSS3: 6.3
EPSS: Низкий
ubuntu логотип

CVE-2022-24894

больше 2 лет назад

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. The Symfony HTTP cache system, acts as a reverse proxy: It caches entire responses (including headers) and returns them to the clients. In a recent change in the `AbstractSessionListener`, the response might contain a `Set-Cookie` header. If the Symfony HTTP cache system is enabled, this response might bill stored and return to the next clients. An attacker can use this vulnerability to retrieve the victim's session. This issue has been patched and is available for branch 4.4.

CVSS3: 5.9
EPSS: Низкий
fstec логотип

BDU:2023-01057

больше 2 лет назад

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с некорректным управлением сеансом, позволяющая нарушителю осуществить CSRF-атаку

CVSS3: 6.3
EPSS: Низкий
fstec логотип

BDU:2023-01072

больше 2 лет назад

Уязвимость компонента AbstractSessionListener программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю получить доступ к сеансу пользователя

CVSS3: 9.8
EPSS: Низкий
github логотип

GHSA-h7vf-5wrv-9fhv

больше 2 лет назад

Symfony storing cookie headers in HttpCache

CVSS3: 5.9
EPSS: Низкий
github логотип

GHSA-3gv2-29qc-v67m

больше 2 лет назад

Symfony vulnerable to Session Fixation of CSRF tokens

CVSS3: 6.3
EPSS: Низкий
github логотип

GHSA-q87v-q8fw-gmj5

около 3 лет назад

Symfony Incorrect Access Control

CVSS3: 9.8
EPSS: Низкий
github логотип

GHSA-89cp-fvcc-hxh7

около 3 лет назад

Symfony Access Control Vulnerability

EPSS: Низкий
github логотип

GHSA-83c3-qx27-2rwr

около 3 лет назад

Symfony Allows URI Restrictions Bypass Via Double-Encoded String

EPSS: Низкий

Уязвимостей на страницу

Уязвимость
CVSS
EPSS
Опубликовано
1
debian логотип
CVE-2022-24894

Symfony is a PHP framework for web and console applications and a set ...

CVSS3: 5.9
0%
Низкий
больше 2 лет назад
ubuntu логотип
CVE-2022-24895

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. When authenticating users Symfony by default regenerates the session ID upon login, but preserves the rest of session attributes. Because this does not clear CSRF tokens upon login, this might enables same-site attackers to bypass the CSRF protection mechanism by performing an attack similar to a session-fixation. This issue has been fixed in the 4.4 branch.

CVSS3: 6.3
0%
Низкий
больше 2 лет назад
ubuntu логотип
CVE-2022-24894

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. The Symfony HTTP cache system, acts as a reverse proxy: It caches entire responses (including headers) and returns them to the clients. In a recent change in the `AbstractSessionListener`, the response might contain a `Set-Cookie` header. If the Symfony HTTP cache system is enabled, this response might bill stored and return to the next clients. An attacker can use this vulnerability to retrieve the victim's session. This issue has been patched and is available for branch 4.4.

CVSS3: 5.9
0%
Низкий
больше 2 лет назад
fstec логотип
BDU:2023-01057

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с некорректным управлением сеансом, позволяющая нарушителю осуществить CSRF-атаку

CVSS3: 6.3
0%
Низкий
больше 2 лет назад
fstec логотип
BDU:2023-01072

Уязвимость компонента AbstractSessionListener программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю получить доступ к сеансу пользователя

CVSS3: 9.8
0%
Низкий
больше 2 лет назад
github логотип
GHSA-h7vf-5wrv-9fhv

Symfony storing cookie headers in HttpCache

CVSS3: 5.9
0%
Низкий
больше 2 лет назад
github логотип
GHSA-3gv2-29qc-v67m

Symfony vulnerable to Session Fixation of CSRF tokens

CVSS3: 6.3
0%
Низкий
больше 2 лет назад
github логотип
GHSA-q87v-q8fw-gmj5

Symfony Incorrect Access Control

CVSS3: 9.8
0%
Низкий
около 3 лет назад
github логотип
GHSA-89cp-fvcc-hxh7

Symfony Access Control Vulnerability

0%
Низкий
около 3 лет назад
github логотип
GHSA-83c3-qx27-2rwr

Symfony Allows URI Restrictions Bypass Via Double-Encoded String

0%
Низкий
около 3 лет назад

Уязвимостей на страницу

Поделиться