Symfony 安全绕过漏洞

漏洞信息详情

Symfony 安全绕过漏洞

• CNNVD编号：CNNVD-201212-369
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-6431
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-12-31
  
• 厂        商：
  
  sensiolabs
• 漏洞来源：

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。

Symfony 2.0.20之前的2.0.x版本中存在漏洞，该漏洞源于始终在Routing和Security组件中的程序没有处理URL编码的数据。通过双编码字符串，远程攻击者利用该漏洞绕过预期的URI限制。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released

来源: symfony.com

链接:http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released