PT-2020-18364 · Symfony · Symfony+1
Luka Sikic
·
Publicado
2020-03-30
·
Atualizado
2024-03-06
·
CVE-2020-5274
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Symfony anteriores à 4.4.5 e à 5.0.5
Versões do symfony/http-foundation anteriores à 4.4.5 e à 5.0.5
Descrição
O problema decorre do fato de o
ErrorHandler renderizar propriedades não escapadas da classe Exception ao exibir o stacktrace, o que também era visível em configurações que não eram de depuração. Isso foi resolvido garantindo que o ErrorHandler escape todas as propriedades da Exception e exiba o stacktrace apenas em configurações de depuração.Recomendações
Para versões do Symfony anteriores à 4.4.5, atualize para a versão 4.4.5 ou posterior.
Para versões do Symfony anteriores à 5.0.5, atualize para a versão 5.0.5 ou posterior.
Como solução temporária, considere configurar o ambiente para o modo de depuração apenas quando necessário, a fim de minimizar o risco de exploração.
Exploit
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Symfony
Symfony Httpfoundation