Symfony bis 2.8.50/3.4.34/4.2.11/4.3.7 UriSigner Race Condition

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.1$0-$5k0.00

Zusammenfassunginfo

Eine als kritisch eingestufte Schwachstelle wurde in Symfony bis 2.8.50/3.4.34/4.2.11/4.3.7 festgestellt. Betroffen davon ist ein unbekannter Prozess der Komponente UriSigner. Mit der Manipulation mit unbekannten Daten kann eine Race Condition-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2019-18887 gelistet. Umgesetzt werden kann der Angriff über das Netzwerk. Es existiert kein Exploit.

Detailsinfo

In Symfony bis 2.8.50/3.4.34/4.2.11/4.3.7 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung der Komponente UriSigner. Durch Manipulieren mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-362. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

An issue was discovered in Symfony 2.8.0 through 2.8.50, 3.4.0 through 3.4.34, 4.2.0 through 4.2.11, and 4.3.0 through 4.3.7. The UriSigner was subject to timing attacks. This is related to symfony/http-kernel.

Die Schwachstelle wurde am 21.11.2019 (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter lists.fedoraproject.org. Die Verwundbarkeit wird seit dem 12.11.2019 als CVE-2019-18887 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Die Einträge VDB-146078 und VDB-146079 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produktinfo

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.1
VulDB Meta Temp Score: 8.1

VulDB Base Score: 8.1
VulDB Temp Score: 8.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.1
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Race Condition
CWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Upgrade: github.com

Timelineinfo

12.11.2019 🔍
21.11.2019 +9 Tage 🔍
22.11.2019 +1 Tage 🔍
26.02.2024 +1557 Tage 🔍

Quelleninfo

Produkt: github.com

Advisory: FEDORA-2019-5ae4fd9203
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2019-18887 (🔍)
GCVE (CVE): GCVE-0-2019-18887
GCVE (VulDB): GCVE-100-146077
Siehe auch: 🔍

Eintraginfo

Erstellt: 22.11.2019 08:19
Aktualisierung: 26.02.2024 09:43
Anpassungen: 22.11.2019 08:19 (37), 22.11.2019 08:24 (17), 26.02.2024 09:43 (4)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!