Symfony — фреймворк c открытым исходным кодом, написанный на PHP.
Релизный цикл, информация об уязвимостях
График релизов
Количество 263
CVE-2018-11386
An issue was discovered in the HttpFoundation component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. The PDOSessionHandler class allows storing sessions on a PDO connection. Under some configurations and with a well-crafted payload, it was possible to do a denial of service on a Symfony application without too much resources.
CVE-2017-16652
An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks.
BDU:2019-04243
Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю повысить свои привилегии
BDU:2019-04246
Уязвимость подкомпонента security.http_utils компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации
BDU:2019-04244
Уязвимость компонента HttpFoundation программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-04245
Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю осуществить межсайтовую подделку запросов
BDU:2019-04112
Уязвимость компонентов DefaultAuthenticationSuccessHandler, DefaultAuthenticationFailureHandler программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации
BDU:2019-04113
Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием использования различных CSRF-токенов для HTTP и HTTPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2019-04114
Уязвимость компонента Intl программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2019-04121
Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2018-11386 An issue was discovered in the HttpFoundation component in Symfony 2.7.x before 2.7.48, 2.8.x before 2.8.41, 3.3.x before 3.3.17, 3.4.x before 3.4.11, and 4.0.x before 4.0.11. The PDOSessionHandler class allows storing sessions on a PDO connection. Under some configurations and with a well-crafted payload, it was possible to do a denial of service on a Symfony application without too much resources. | CVSS3: 5.9 | 1% Низкий | больше 7 лет назад |
| CVE-2017-16652 An issue was discovered in Symfony 2.7.x before 2.7.38, 2.8.x before 2.8.31, 3.2.x before 3.2.14, and 3.3.x before 3.3.13. DefaultAuthenticationSuccessHandler or DefaultAuthenticationFailureHandler takes the content of the _target_path parameter and generates a redirect response, but no check is performed on the path, which could be an absolute URL to an external domain. This Open redirect vulnerability can be exploited for example to mount effective phishing attacks. | CVSS3: 6.1 | 0% Низкий | больше 7 лет назад |
 | BDU:2019-04243 Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю повысить свои привилегии | CVSS3: 8.1 | 1% Низкий | больше 7 лет назад |
| BDU:2019-04246 Уязвимость подкомпонента security.http_utils компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации | CVSS3: 6.1 | 0% Низкий | больше 7 лет назад |
| BDU:2019-04244 Уязвимость компонента HttpFoundation программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.9 | 1% Низкий | больше 7 лет назад |
| BDU:2019-04245 Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю осуществить межсайтовую подделку запросов | CVSS3: 8.8 | 0% Низкий | больше 7 лет назад |
| BDU:2019-04112 Уязвимость компонентов DefaultAuthenticationSuccessHandler, DefaultAuthenticationFailureHandler программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю проводить фишинг-атаки и получить доступ к защищаемой информации | CVSS3: 6.1 | 0% Низкий | около 8 лет назад |
| BDU:2019-04113 Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием использования различных CSRF-токенов для HTTP и HTTPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации | CVSS3: 5.9 | 0% Низкий | около 8 лет назад |
| BDU:2019-04114 Уязвимость компонента Intl программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию | CVSS3: 7.5 | 1% Низкий | около 8 лет назад |
| BDU:2019-04121 Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию | CVSS3: 6.5 | 1% Низкий | около 8 лет назад |
Уязвимостей на страницу