Symfony 7.07 FormLoginAuthenticator username/password erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Symfony 7.07 entdeckt. Sie wurde als problematisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente FormLoginAuthenticator. Die Manipulation des Arguments username/password führt zu einer unbekannten Schwachstelle. Die Verwundbarkeit wird als CVE-2024-36611 geführt. Es ist kein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
In Symfony 7.07 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Es geht um eine unbekannte Funktion der Komponente FormLoginAuthenticator. Durch Beeinflussen des Arguments username/password mit einer unbekannten Eingabe kann eine unbekannte Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-863. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
In Symfony v7.07, a security vulnerability was identified in the FormLoginAuthenticator component, where it failed to adequately handle cases where the username or password field of a login request is empty. This flaw could lead to various security risks, including improper authentication logic handling or denial of service.Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 30.05.2024 mit CVE-2024-36611 vorgenommen. Sie ist leicht auszunutzen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Die Schwachstelle lässt sich durch das Einspielen des Patches a804ca15fcad279d7727b91d12a667fd5b925995 beheben. Dieser kann von github.com bezogen werden.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/symfony/symfony/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.9VulDB Meta Temp Score: 6.7
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 7.5
CNA Vector (MITRE): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-863 / CWE-285 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: a804ca15fcad279d7727b91d12a667fd5b925995
Timeline
30.05.2024 🔍29.11.2024 🔍
29.11.2024 🔍
03.12.2024 🔍
Quellen
Produkt: github.comAdvisory: a804ca15fcad279d7727b91d12a667fd5b925995
Status: Bestätigt
CVE: CVE-2024-36611 (🔍)
GCVE (CVE): GCVE-0-2024-36611
GCVE (VulDB): GCVE-100-286450
Eintrag
Erstellt: 29.11.2024 22:45Aktualisierung: 03.12.2024 23:12
Anpassungen: 29.11.2024 22:45 (56), 03.12.2024 23:12 (14)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.