Vulnerabilidad en Symfony 1 (CVE-2024-28861)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
22/03/2024
Última modificación:
22/03/2024
Descripción
Symfony 1 es una bifurcación impulsada por la comunidad de la rama 1.x de Symfony, un framework PHP para proyectos web. A partir de la versión 1.1.0 y antes de la versión 1.5.19, Symfony 1 tiene una cadena de gadgets debido a una deserialización peligrosa en la clase `sfNamespacedParameterHolder` que permitiría a un atacante obtener la ejecución remota de código si un desarrollador deserializa la entrada del usuario en su proyecto. La versión 1.5.19 contiene un parche para el problema.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA