PT-2024-34873 · Unknown · Symphony Php Framework
Jordi Boggiano
·
Publicado
2024-11-06
·
Atualizado
2024-11-08
·
CVE-2024-51736
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do framework PHP Symphony anteriores à 5.4.46
Versões do framework PHP Symphony anteriores à 6.4.14
Versões do framework PHP Symphony anteriores à 7.1.7
Descrição
O módulo de processo do Symphony no framework Symphony PHP executa comandos em subprocessos. No Windows, quando um arquivo executável chamado
cmd.exe está localizado no diretório de trabalho atual, ele será chamado pela classe Process ao preparar argumentos de comando, levando a um possível sequestro.Recomendações
Para versões anteriores à 5.4.46, atualize para a versão 5.4.46 ou posterior.
Para versões anteriores à 6.4.14, atualize para a versão 6.4.14 ou posterior.
Para versões anteriores à 7.1.7, atualize para a versão 7.1.7 ou posterior.
Como solução alternativa temporária, considere usar o caminho absoluto para
cmd.exe ao preparar argumentos de comando com a classe Process.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Symphony Php Framework