For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00228
Identificador(es)
ASA-2019-00228, CVE-2019-10909
Título
Escape de mensagens de validação no mecanismo de modelagem PHP
Fabricante(s)
Sensio Labs
Produto(s)
Symfony
Versão(ões) afetada(s)
Symfony 2.7.0 anterior à 2.7.50
Symfony 2.8.0 anterior à 2.8.49
Symfony 3.4.0 anterior à 3.4.25
Symfony 4.1.0 anterior à 4.1.11
Symfony 4.2.0 anterior à 4.2.6
Versão(ões) corrigida(s)
Symfony 2.7.51
Symfony 2.8.50
Symfony 3.4.26
Symfony 4.1.12
Symfony 4.2.7
Prova de conceito
Desconhecido
Descrição
As mensagens de validação não foram ignoradas ao usar o formulário do mecanismo de modelagem PHP, quando as mensagens de validação podem conter entrada do usuário, podem resultar em um Cross-Site Scripting (XSS).
Detalhes técnicos
Desconhecido
Créditos
Christophe Coevoet (stof)
Referência(s)
CVE-2019-10909: Escape validation messages in the PHP templating engine
https://symfony.com/blog/cve-2019-10909-escape-validation-messages-in-the-php-templating-engine
Drupal core – Moderately critical – Multiple Vulnerabilities – SA-CORE-2019-005
https://www.drupal.org/sa-core-2019-005
CVE-2019-10909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10909
CVE-2019-10909
https://nvd.nist.gov/vuln/detail/CVE-2019-10909
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 27 abril 2019