ASA-2019-00228 – Symfony: Escape de mensagens de validação no mecanismo de modelagem PHP


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00228

Identificador(es)

ASA-2019-00228, CVE-2019-10909

Título

Escape de mensagens de validação no mecanismo de modelagem PHP

Fabricante(s)

Sensio Labs

Produto(s)

Symfony

Versão(ões) afetada(s)

Symfony 2.7.0 anterior à 2.7.50
Symfony 2.8.0 anterior à 2.8.49
Symfony 3.4.0 anterior à 3.4.25
Symfony 4.1.0 anterior à 4.1.11
Symfony 4.2.0 anterior à 4.2.6

Versão(ões) corrigida(s)

Symfony 2.7.51
Symfony 2.8.50
Symfony 3.4.26
Symfony 4.1.12
Symfony 4.2.7

Prova de conceito

Desconhecido

Descrição

As mensagens de validação não foram ignoradas ao usar o formulário do mecanismo de modelagem PHP, quando as mensagens de validação podem conter entrada do usuário, podem resultar em um Cross-Site Scripting (XSS).

Detalhes técnicos

Desconhecido

Créditos

Christophe Coevoet (stof)

Referência(s)

CVE-2019-10909: Escape validation messages in the PHP templating engine
https://symfony.com/blog/cve-2019-10909-escape-validation-messages-in-the-php-templating-engine

Drupal core – Moderately critical – Multiple Vulnerabilities – SA-CORE-2019-005
https://www.drupal.org/sa-core-2019-005

CVE-2019-10909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10909

CVE-2019-10909
https://nvd.nist.gov/vuln/detail/CVE-2019-10909

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 27 abril 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.