Symfony 任意服务器访问漏洞

漏洞信息详情

Symfony 任意服务器访问漏洞

• CNNVD编号：CNNVD-201212-370
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-6432
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-12-31
  
• 厂        商：
  
  sensiolabs
• 漏洞来源：

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。

Symfony 2.0.20之前的2.0.x版本、2.1.5之前的2.1.x版本和2.2-dev版本中存在漏洞。当内部路由配置启用时，通过包含开始带有/_internal子串URI的向量，远程攻击者利用该漏洞访问任意服务器。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released

来源: symfony.com

链接:http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released