PT-2024-7999 · Symfony+5 · Symfony+5

Vladimir Dusheyko

·

Publicado

2023-10-07

·

Atualizado

2025-07-01

·

CVE-2024-50340

CVSS v3.1

7.3

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do Symfony anteriores à 5.4.46
Versões do Symfony anteriores à 6.4.14
Versões do Symfony anteriores à 7.1.7
Descrição
A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais, permitindo que um invasor remoto execute código arbitrário. Quando a diretiva register argv argc do PHP está definida como on e os usuários acessam qualquer URL com uma string de consulta especialmente criada, eles conseguem alterar o ambiente ou o modo de depuração usado pelo kernel ao processar a solicitação. Mais de 32.000 resultados foram identificados como potencialmente vulneráveis.
Recomendações
Para versões anteriores à 5.4.46, atualize para a versão 5.4.46 ou posterior.
Para versões anteriores à 6.4.14, atualize para a versão 6.4.14 ou posterior.
Para versões anteriores à 7.1.7, atualize para a versão 7.1.7 ou posterior.
Como solução temporária, considere definir a diretiva register argv argc do PHP como off até que um patch seja aplicado.

Exploit

Correção

DoS

Information Disclosure

Open Redirect

RCE

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-601CWE-20CWE-74

Identificadores relacionados

ALT-PU-2023-6184
ALT-PU-2024-1028
ALT-PU-2024-4537
ALT-PU-2024-4547
ALT-PU-2024-4961
ALT-PU-2025-4212
BDU:2024-09513
BDU:2025-07863
BDU:2025-07864
BDU:2025-07865
CVE-2024-50340
DSA-5809-1
GHSA-X8VP-GF4Q-MW5J
USN-7272-1

Produtos afetados

Astra Linux
Debian
Linuxmint
Red Os
Symfony
Ubuntu