一、 漏洞 CVE-2019-10909 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Symfony 的验证消息没有进行转义,导致在包含用户输入时可能产生 XSS 攻击。

## 影响版本
- Symfony 版本 2.7.x 小于 2.7.51
- Symfony 版本 2.8.x 小于 2.8.50
- Symfony 版本 3.x 小于 3.4.26
- Symfony 版本 4.x 小于 4.1.12
- Symfony 版本 4.2.x 小于 4.2.7

## 漏洞细节
验证消息中用户输入的内容未进行转义,导致潜在的 XSS 攻击风险。

## 影响
攻击者可以通过构造特定输入,利用此漏洞执行跨站脚本攻击,影响应用的安全性和用户数据的安全。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, validation messages are not escaped, which can lead to XSS when user input is included. This is related to symfony/framework-bundle.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Sensio Labs Symfony 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。 Sensio Labs Symfony中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。以下产品及版本受到影响:Sensio Labs Symfony 2.7.51之前版本,2.8.50之前的2.8.x版本,3.4.26之前的3.x版本,4.1.12之前的4.x版本,4.2.
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-10909 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2021-21424 - CRLF Injection - CVE-2021-41268 - Host Header Injection - CVE-2022-24894 - WebProfiler abierto - CVE-2019-10909 - Directory Traversal https://github.com/moften/Symfony-CVE-Scanner-PoC- POC详情
三、漏洞 CVE-2019-10909 的情报信息
四、漏洞 CVE-2019-10909 的评论

暂无评论

发表评论