阿里云漏洞库

低危 Sensio Labs Symfony 授权问题漏洞

CVE编号

CVE-2019-10911

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-05-17

漏洞描述

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。

Symfony中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。以下产品及版本受到影响：Symfony 2.7.51之前版本，2.8.50之前的2.8.x版本，3.4.26之前的3.x版本，4.1.12之前的4.x版本，4.2.7之前的4.2.x版本。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/symfony/symfony/commit/a29ce2817cf43bb1850cf6af114004ac26c7a081
https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-co...
https://www.synology.com/security/advisory/Synology_SA_19_19

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 2.7.0	Up to (excluding) 2.7.51
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 2.8.0	Up to (excluding) 2.8.50
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 3.4.0	Up to (excluding) 3.4.26
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 4.1.0	Up to (excluding) 4.1.12
	运行在以下环境
	应用	sensiolabs	symfony	*	From (including) 4.2.0	Up to (excluding) 4.2.7
	运行在以下环境
	系统	debian_10	symfony	*		Up to (excluding) 3.4.22+dfsg-2
	运行在以下环境
	系统	debian_11	symfony	*		Up to (excluding) 3.4.22+dfsg-2
	运行在以下环境
	系统	debian_12	symfony	*		Up to (excluding) 3.4.22+dfsg-2
	运行在以下环境
	系统	fedora_28	drupal8	*		Up to (excluding) 8.6.15-1.fc28
	运行在以下环境
	系统	fedora_29	drupal8	*		Up to (excluding) 8.6.15-1.fc29
	运行在以下环境
	系统	fedora_30	drupal8	*		Up to (excluding) 8.6.15-1.fc30

攻击路径

远程
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-200	信息暴露
CWE-287	认证机制不恰当