Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不適切な入力処理

high Web App Scanning プラグイン ID 114497

概要

Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不適切な入力処理

説明

register_argc_argv php が「on」に設定され、ユーザーが特別に細工されたクエリ文字列で任意の URL を呼び出すとき、Symfony の 5.4.46 より前のバージョン、6.4.14 より前の 6.x、7.1.7 より前の 7.x は脆弱です。リクエストを処理する際にカーネルが使用する環境またはデバッグモードが変更される可能性があります。

脆弱な Symfony コンポーネントが Laravel に埋め込まれているため、プラグインは脆弱な Laravel インスタンスを検出する可能性があることに注意してください。

ソリューション

Symfony バージョン 5.4.46、6.4.14、7.1.7 またはそれ以降にアップグレードしてください。

参考資料

https://github.com/symfony/symfony/commit/a77b308c3f179ed7c8a8bc295f82b2d6ee3493fa

https://symfony.com/blog/cve-2024-50340-ability-to-change-environment-from-query

プラグインの詳細

深刻度: High

ID: 114497

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2024/11/7

更新日: 2024/11/20

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2024-50340

CVSS v3

リスクファクター: High

基本値: 7.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS スコアのソース: CVE-2024-50340

CVSS v4

リスクファクター: High

Base Score: 8.7

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2024-52301

脆弱性情報

CPE: cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/11/5

脆弱性公開日: 2024/11/5

参照情報

CVE: CVE-2024-50340, CVE-2024-52301