CVE-2021-21424 PoC — Sensio Labs Symfony 信息泄露漏洞

Source

https://github.com/moften/CVE-2021-21424

Associated Vulnerability

Title:Sensio Labs Symfony 信息泄露漏洞 (CVE-2021-21424)
Description:Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。 Symfony 存在安全漏洞。该漏洞源于应用程序基于应用程序数据库中用户帐户名的存在而返回不同的响应。远程攻击者枚举应用程序用户。以下产品及版本受到影响：Symfony: 3.0.0, 3.0.0-1, 3.0.01, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8

Description

 El WebProfiler de Symfony expone rutas internas del servidor si no está deshabilitado en producción

Readme

# CVE-2021-21424

Directory Traversal y exposición de archivos
	•	CVE-2021-21424
	•	Descripción: El WebProfiler expone rutas internas del servidor si no está deshabilitado en producción.
	•	Versiones afectadas: Symfony 2.8 a 5.x.
	•	Bypass típico: acceso directo a /app_dev.php/_profiler/.


	Resumen del CVE-2021-21424
	•	CVE: 2021-21424
	•	Componente: Web Profiler / Dev Toolbar
	•	Impacto: Exposición de información sensible (entorno, rutas, parámetros)
	•	Requisito: Que /app_dev.php, /_profiler o /_wdt estén accesibles desde producción.
	•	Riesgo: Permite escalado de privilegios, acceso a variables de entorno, credenciales, rutas internas, debugging de requests y profiling de controladores.

File Snapshot


 [4.0K]  /data/pocs/9f9b714b9d502dcba640b23d2411b78f365f70b4
├── [ 527]  CVE-2021-21424.py
└── [ 728]  README.md

0 directories, 2 files

Shenlong Bot has cached this for you

Remarks

1. It is advised to access via the original source first.

2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).

3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.

Goal Reached Thanks to every supporter — we hit 100%!