Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブアプリケーションフレームワーク「Symfony」に複数の脆弱性

ウェブアプリケーションフレームワーク「Symfony」に複数の脆弱性が含まれていることがわかった。開発チームはアップデートをリリースしている。

サービスIDのチェックに問題があり、リモートより任意のコードを実行されるおそれがある「CVE-2019-10910」や、細工した「Cookie」によりなりすましが可能となる「CVE-2019-10911」が判明。

またPHPテンプレートエンジンにおける「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2019-10909」、HTTPメソッドにおける検証不備の脆弱性「CVE-2019-10913」、入力値の検証が不十分である「CVE-2019-10912」などあわせて5件の脆弱性が明らかとなった。

開発チームでは、これら脆弱性を修正した「同4.2.7」「同4.1.12」「同3.4.26」「同2.8.50」「同2.7.51」をリリース。アップデートを呼びかけている。

(Security NEXT - 2019/04/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Drupal」がアップデート - 依存ソフトの更新受け
PHPのテンプレエンジン「Twig」に情報漏洩の脆弱性
iOS向けバイト情報アプリ「an」の旧版に脆弱性
iOS向け保険管理アプリに脆弱性 - 「Cordova」向け旧プラグインに起因
「ColdFusion」に深刻な脆弱性、悪用報告も - 早急に対応を
Javaフレームワーク「Nablarch」に深刻な脆弱性 - 早急に対応を
「Symfony」のフォームコンポーネントに脆弱性 - アップデートがリリース
コンテナ管理の「Kubernetes」に深刻な脆弱性
Ciscoのライセンス管理製品に深刻な脆弱性 - SQLiによりシェルの実行も可能に
「Apache Struts 2.3」系、2019年5月にサポート終了 - 移行の検討を