关联漏洞
标题:Sensio Labs Symfony 信息泄露漏洞 (CVE-2021-21424)Description:Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。 Symfony 存在安全漏洞。该漏洞源于应用程序基于应用程序数据库中用户帐户名的存在而返回不同的响应。远程攻击者枚举应用程序用户。以下产品及版本受到影响:Symfony: 3.0.0, 3.0.0-1, 3.0.01, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8
Description
El WebProfiler de Symfony expone rutas internas del servidor si no está deshabilitado en producción
介绍
# CVE-2021-21424
Directory Traversal y exposición de archivos
• CVE-2021-21424
• Descripción: El WebProfiler expone rutas internas del servidor si no está deshabilitado en producción.
• Versiones afectadas: Symfony 2.8 a 5.x.
• Bypass típico: acceso directo a /app_dev.php/_profiler/.
Resumen del CVE-2021-21424
• CVE: 2021-21424
• Componente: Web Profiler / Dev Toolbar
• Impacto: Exposición de información sensible (entorno, rutas, parámetros)
• Requisito: Que /app_dev.php, /_profiler o /_wdt estén accesibles desde producción.
• Riesgo: Permite escalado de privilegios, acceso a variables de entorno, credenciales, rutas internas, debugging de requests y profiling de controladores.
文件快照
[4.0K] /data/pocs/9f9b714b9d502dcba640b23d2411b78f365f70b4
├── [ 527] CVE-2021-21424.py
└── [ 728] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。