Sensio Labs Symfony YAML组件任意代码执行漏洞

漏洞信息详情

Sensio Labs Symfony YAML组件任意代码执行漏洞

• CNNVD编号：CNNVD-201301-567
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-1397
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2013-01-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-06-04
  
• 厂        商：
  
  sensiolabs
• 漏洞来源：

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具，可用于快速创建复杂的WEB程序。

Sensio Labs Symfony中的存在安全漏洞，该漏洞源于YAML组件中的‘Yaml：：parse’和‘Yaml＼Parser：：parse’方法中存在错误。远程攻击者可借助序列化的PHP对象利用该漏洞执行任意PHP代码。以下版本受到影响：Symfony 2.0.22之前的2.0.x版本，2.1.7之前的2.1.x版本，2.2.x。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://symfony.com/blog/security-release-symfony-2-0-22-and-2-1-7-released

来源:SECUNIA

名称:51980

链接:http://secunia.com/advisories/51980

来源:symfony.com

链接:http://symfony.com/blog/security-release-symfony-2-0-22-and-2-1-7-released

来源:XF

名称:symfony-php-objects-code-execution(81551)

链接:http://xforce.iss.net/xforce/xfdb/81551

来源:BID

名称:57574

链接:http://www.securityfocus.com/bid/57574

来源:SECUNIA

名称:51980

链接:http://secunia.com/advisories/51980