Sensio Labs Symfony 安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1285459 漏洞类型
发布时间 2017-11-09 更新时间 2019-10-23
CVE编号 CVE-2017-16653 CNNVD-ID CNNVD-201711-294
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201711-294
|漏洞详情
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。 Sensio Labs Symfony中存在安全漏洞,该漏洞源于在Symfony 2及之后版本的中,跨站请求伪造的防护没有使用不同的HTTP和HTTPS令牌。攻击者可利用该漏洞实施中间人攻击,执行未授权的操作。以下版本受到影响:Sensio Labs Symfony 2.7.38之前版本,2.8.31版本,3.2.14版本,3.3.13版本,3.4-BETA5版本,4.0-BETA5版本。
|参考资料

来源:github.com

链接:https://github.com/symfony/symfony/pull/24992


来源:symfony.com

链接:https://symfony.com/blog/cve-2017-16653-csrf-protection-does-not-use-different-tokens-for-http-and-https


来源:www.debian.org

链接:https://www.debian.org/security/2018/dsa-4262