For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00225
Identificador(es)
ASA-2019-00225, CVE-2019-10912
Título
Prevenir que destructors com efeitos colaterais sejam desserializados
Fabricante(s)
Sensio Labs
Produto(s)
Symfony
Versão(ões) afetada(s)
Symfony 2.8.0 anterior à 2.8.49
Symfony 3.4.0 anterior à 3.4.25
Symfony 4.1.0 anterior à 4.1.11
Symfony 4.2.0 anterior à 4.2.6
Versão(ões) corrigida(s)
Symfony 2.8.50
Symfony 3.4.26
Symfony 4.1.12
Symfony 4.2.7
Prova de conceito
Desconhecido
Descrição
Quando unserialize() é chamado com conteúdo proveniente da entrada do usuário, payloads úteis maliciosos podem ser usados para disparar exclusões de arquivos ou saídas brutas sendo ecoadas.
Detalhes técnicos
Desconhecido
Créditos
Mindaugas Vedegys
Referência(s)
CVE-2019-10912: Prevent destructors with side-effects from being unserialized
https://symfony.com/blog/cve-2019-10912-prevent-destructors-with-side-effects-from-being-unserialized
TYPO3-CORE-SA-2019-016: Possible deserialization side-effects in symfony/cache
https://typo3.org/security/advisory/typo3-core-sa-2019-016/
CVE-2019-10912
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10912
CVE-2019-10912
https://nvd.nist.gov/vuln/detail/CVE-2019-10912
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 14 agosto 2019