Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Symfony 1 (CVE-2024-28861)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
22/03/2024
Última modificación:
22/03/2024

Descripción

Symfony 1 es una bifurcación impulsada por la comunidad de la rama 1.x de Symfony, un framework PHP para proyectos web. A partir de la versión 1.1.0 y antes de la versión 1.5.19, Symfony 1 tiene una cadena de gadgets debido a una deserialización peligrosa en la clase `sfNamespacedParameterHolder` que permitiría a un atacante obtener la ejecución remota de código si un desarrollador deserializa la entrada del usuario en su proyecto. La versión 1.5.19 contiene un parche para el problema.