ウェブアプリケーションフレームワーク「Symfony」に複数の脆弱性

ウェブアプリケーションフレームワーク「Symfony」に複数の脆弱性が含まれていることがわかった。開発チームはアップデートをリリースしている。

サービスIDのチェックに問題があり、リモートより任意のコードを実行されるおそれがある「CVE-2019-10910」や、細工した「Cookie」によりなりすましが可能となる「CVE-2019-10911」が判明。

またPHPテンプレートエンジンにおける「クロスサイトスクリプティング（XSS）」の脆弱性「CVE-2019-10909」、HTTPメソッドにおける検証不備の脆弱性「CVE-2019-10913」、入力値の検証が不十分である「CVE-2019-10912」などあわせて5件の脆弱性が明らかとなった。

開発チームでは、これら脆弱性を修正した「同4.2.7」「同4.1.12」「同3.4.26」「同2.8.50」「同2.7.51」をリリース。アップデートを呼びかけている。

（Security NEXT - 2019/04/19 ） ツイート

PR

関連記事

Apple、「macOS Big Sur 11.4」などセキュリティアップデートを公開 - ゼロデイ脆弱性を修正
「Apache Shiro」に認証バイパスの脆弱性 - アップデートが公開
「Apache Cordova」向けカメラプラグインに情報漏洩のおそれ
「Hibernate ORM」に「SQLインジェクション」の脆弱性
「Apache Wicket」に脆弱性 - 情報漏洩のおそれ
RPCフレームワーク「Apache Dubbo」にRCE脆弱性
「Apache Spark」に脆弱性、アップデートがリリース
ウェブアプリフレームワーク「Django」に深刻な脆弱性
「Apache Dubbo」にRCE脆弱性 - 2019年12月の更新で修正済み
既知の「Cisco ASA」脆弱性狙う攻撃が急増 - 休み前に対策を