Vulnerabilidad en Symfony (CVE-2023-46734)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
10/11/2023
Última modificación:
24/11/2023
Descripción
Symfony es un framework PHP para aplicaciones web y de consola y un conjunto de componentes PHP reutilizables. A partir de las versiones 2.0.0, 5.0.0 y 6.0.0 y anteriores a las versiones 4.4.51, 5.4.31 y 6.3.8, algunos filtros Twig en CodeExtension usan `is_safe=html` pero en realidad no garantizan su la entrada es segura. A partir de las versiones 4.4.51, 5.4.31 y 6.3.8, Symfony ahora escapa a la salida de los filtros afectados.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 4.4.51 (excluyendo) |
| cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.4.31 (excluyendo) |
| cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.3.8 (excluyendo) |
| cpe:2.3:a:sensiolabs:twig:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 4.4.51 (excluyendo) |
| cpe:2.3:a:sensiolabs:twig:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.4.31 (excluyendo) |
| cpe:2.3:a:sensiolabs:twig:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.3.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/symfony/symfony/commit/5d095d5feb1322b16450284a04d6bb48d1198f54
- https://github.com/symfony/symfony/commit/9da9a145ce57e4585031ad4bee37c497353eec7c
- https://github.com/symfony/symfony/security/advisories/GHSA-q847-2q57-wmr3
- https://lists.debian.org/debian-lts-announce/2023/11/msg00019.html