BDU:2019-04121

Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», SensioLabs, symfony community Astra Linux Special Edition, Symfony, Debian GNU/Linux

НЕ ОЦЕНЕНО

Дата обнаружения

2017-11-17

Официальное описание

Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью специально созданного HTTP-запроса, где значение «FileType» отправляется, как данные POST, которые можно интерпретировать, как локальный путь к файлу на стороне сервера

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Debian GNU/Linux: https://www.debian.org/security/2018/dsa-4262

Для Symfony: https://symfony.com/blog/cve-2017-16790-ensure-that-submitted-data-are-uploaded-files

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей