SensioLabs Symfony bis 1.4.17 sfBasicSecurityUser.class.php unbekannte Schwachstelle
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Eine problematische Schwachstelle wurde in SensioLabs Symfony (Programming Tool Software) gefunden. Dies betrifft eine unbekannte Verarbeitung der Bibliothek lib/user/sfBasicSecurityUser.class.php. Auswirkungen hat dies auf die Integrität. Die Zusammenfassung von CVE lautet:
Session fixation vulnerability in lib/user/sfBasicSecurityUser.class.php in SensioLabs Symfony before 1.4.18 allows remote attackers to hijack web sessions via vectors related to the regenerate method and unspecified "database backed session classes."Die Schwachstelle wurde am 07.06.2012 (oss-sec) herausgegeben. Bereitgestellt wird das Advisory unter openwall.com. Die Verwundbarkeit wird seit dem 14.05.2012 mit der eindeutigen Identifikation CVE-2012-2667 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Durch die Suche von inurl:lib/user/sfBasicSecurityUser.class.php können potentiell verwundbare Systeme gefunden werden. Für den Vulnerability Scanner Nessus wurde am 18.06.2012 ein Plugin mit der ID 59542 (Fedora 17 : php-symfony-symfony-1.4.18-1.fc17 (2012-8966)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.
Ein Aktualisieren auf die Version 1.4.14 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (76027) und Tenable (59542) dokumentiert.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 59542
Nessus Name: Fedora 17 : php-symfony-symfony-1.4.18-1.fc17 (2012-8966)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 864458
OpenVAS Name: Fedora Update for php-symfony-symfony FEDORA-2012-8911
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Symfony 1.4.14
Timeline
14.05.2012 🔍30.05.2012 🔍
30.05.2012 🔍
04.06.2012 🔍
07.06.2012 🔍
07.06.2012 🔍
18.06.2012 🔍
09.07.2012 🔍
23.03.2015 🔍
03.12.2021 🔍
Quellen
Advisory: openwall.comStatus: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2012-2667 (🔍)
X-Force: 76027
Vulnerability Center: 35498 - SensioLabs Symfony before 1.4.18 Allows Web Sessions Hijacking, Medium
SecurityFocus: 53776 - Symfony 'regenerate()' Method Session Fixation Vulnerability
Secunia: 49312 - Symfony Session Fixation Vulnerability, Less Critical
Eintrag
Erstellt: 23.03.2015 16:50Aktualisierung: 03.12.2021 14:54
Anpassungen: 23.03.2015 16:50 (60), 14.06.2018 22:17 (13), 03.12.2021 14:54 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.