漏洞信息详情

Sensio Labs Symfony 安全漏洞

  • CNNVD编号:CNNVD-201711-294
  • 危害等级: 中危
  • CVE编号: CVE-2017-16653
  • 漏洞类型: 资料不足
  • 发布时间: 2017-11-09
  • 威胁类型: 远程
  • 更新时间: 2019-10-23
  • 厂        商: sensiolabs
  • 漏洞来源:

漏洞简介

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。

Sensio Labs Symfony中存在安全漏洞,该漏洞源于在Symfony 2及之后版本的中,跨站请求伪造的防护没有使用不同的HTTP和HTTPS令牌。攻击者可利用该漏洞实施中间人攻击,执行未授权的操作。以下版本受到影响:Sensio Labs Symfony 2.7.38之前版本,2.8.31版本,3.2.14版本,3.3.13版本,3.4-BETA5版本,4.0-BETA5版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://symfony.com/blog/cve-2017-16653-csrf-protection-does-not-use-different-tokens-for-http-and-https

参考网址

来源:https

链接:https

来源:http-and-

链接:http-and-

来源:CONFIRM

链接:https://symfony.com/blog/cve-2017-16653-csrf-protection-does-not-use-different-tokens-for-

来源:DEBIAN

链接:https://www.debian.org/security/2018/dsa-4262

来源:CONFIRM

链接:https://github.com/symfony/symfony/pull/24992

漏洞信息快速查询

相关漏洞

更多