Логотип exploitDog
product: "symfony"
Консоль
Логотип exploitDog

exploitDog

product: "symfony"
Symfony

Symfonyфреймворк c открытым исходным кодом, написанный на PHP.

Релизный цикл, информация об уязвимостях

Продукт: Symfony
Вендор: SensioLabs

График релизов

5.46.16.26.37.06.47.17.27.38.07.42021202220232024202520262027202820292030

Недавние уязвимости Symfony

Количество 255

ubuntu логотип

CVE-2018-11385

больше 7 лет назад

An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. A session fixation vulnerability within the "Guard" login feature may allow an attacker to impersonate a victim towards the web application if the session id value was previously known to the attacker.

CVSS3: 8.1
EPSS: Низкий
ubuntu логотип

CVE-2018-11386

больше 7 лет назад

An issue was discovered in the HttpFoundation component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. The PDOSessionHandler class allows storing sessions on a PDO connection. Under some configurations and with a well-crafted payload, it was possible to do a denial of service on a Symfony application without too much resources.

CVSS3: 5.9
EPSS: Низкий
ubuntu логотип

CVE-2017-16652

больше 7 лет назад

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

CVSS3: 6.1
EPSS: Низкий
ubuntu логотип

CVE-2018-11406

больше 7 лет назад

An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. By default, a user's session is invalidated when the user is logged out. This behavior can be disabled through the invalidate_session option. In this case, CSRF tokens were not erased during logout which allowed for CSRF token fixation.

CVSS3: 8.8
EPSS: Низкий
fstec логотип

BDU:2019-04243

больше 7 лет назад

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю повысить свои привилегии

CVSS3: 8.1
EPSS: Низкий
fstec логотип

BDU:2019-04245

больше 7 лет назад

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю осуществить межсайтовую подделку запросов

CVSS3: 8.8
EPSS: Низкий
fstec логотип

BDU:2019-04244

больше 7 лет назад

Уязвимость компонента HttpFoundation программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.9
EPSS: Низкий
fstec логотип

BDU:2019-04246

больше 7 лет назад

Уязвимость подкомпонента security.http_utils компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации

CVSS3: 6.1
EPSS: Низкий
fstec логотип

BDU:2019-04121

около 8 лет назад

Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию

CVSS3: 6.5
EPSS: Низкий
fstec логотип

BDU:2019-04113

около 8 лет назад

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием использования различных CSRF-токенов для HTTP и HTTPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS3: 5.9
EPSS: Низкий

Уязвимостей на страницу

Уязвимость
CVSS
EPSS
Опубликовано
1
ubuntu логотип
CVE-2018-11385

An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. A session fixation vulnerability within the "Guard" login feature may allow an attacker to impersonate a victim towards the web application if the session id value was previously known to the attacker.

CVSS3: 8.1
1%
Низкий
больше 7 лет назад
ubuntu логотип
CVE-2018-11386

An issue was discovered in the HttpFoundation component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. The PDOSessionHandler class allows storing sessions on a PDO connection. Under some configurations and with a well-crafted payload, it was possible to do a denial of service on a Symfony application without too much resources.

CVSS3: 5.9
1%
Низкий
больше 7 лет назад
ubuntu логотип
CVE-2017-16652

An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.

CVSS3: 6.1
0%
Низкий
больше 7 лет назад
ubuntu логотип
CVE-2018-11406

An issue was discovered in the Security component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. By default, a user's session is invalidated when the user is logged out. This behavior can be disabled through the invalidate_session option. In this case, CSRF tokens were not erased during logout which allowed for CSRF token fixation.

CVSS3: 8.8
0%
Низкий
больше 7 лет назад
fstec логотип
BDU:2019-04243

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю повысить свои привилегии

CVSS3: 8.1
1%
Низкий
больше 7 лет назад
fstec логотип
BDU:2019-04245

Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю осуществить межсайтовую подделку запросов

CVSS3: 8.8
0%
Низкий
больше 7 лет назад
fstec логотип
BDU:2019-04244

Уязвимость компонента HttpFoundation программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю вызвать отказ в обслуживании

CVSS3: 5.9
1%
Низкий
больше 7 лет назад
fstec логотип
BDU:2019-04246

Уязвимость подкомпонента security.http_utils компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации

CVSS3: 6.1
0%
Низкий
больше 7 лет назад
fstec логотип
BDU:2019-04121

Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию

CVSS3: 6.5
1%
Низкий
около 8 лет назад
fstec логотип
BDU:2019-04113

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием использования различных CSRF-токенов для HTTP и HTTPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS3: 5.9
0%
Низкий
около 8 лет назад

Уязвимостей на страницу

Поделиться