PT-2024-34155 · Symfony+5 · Symfony Httpfoundation+5
Zer0Yu
·
Publicado
2024-10-29
·
Atualizado
2025-07-01
·
CVE-2024-50345
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas:
versões do symfony/http-foundation anteriores à 5.4.46
versões do symfony/http-foundation anteriores à 6.4.14
versões do symfony/http-foundation anteriores à 7.1.7
Descrição:
A classe
Request no symfony/http-foundation não analisa URIs com caracteres especiais da mesma forma que os navegadores. Como resultado, um invasor pode enganar um validador que dependa da classe Request para redirecionar usuários para outro domínio. A falha já foi corrigida, e recomenda-se que os usuários atualizem. Não há soluções alternativas conhecidas para este problema.Recomendações:
Para versões anteriores à 5.4.46, atualize para a versão 5.4.46 ou posterior.
Para versões anteriores à 6.4.14, atualize para a versão 6.4.14 ou posterior.
Para versões anteriores à 7.1.7, atualize para a versão 7.1.7 ou posterior.
Como solução alternativa temporária, considere validar as URLs manualmente para garantir que elas não contenham caracteres inválidos, conforme definido em https://url.spec.whatwg.org/, até que um patch seja aplicado.
Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Debian
Linuxmint
Red Os
Ubuntu
Symfony Httpfoundation