For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00229
Identificador(es)
ASA-2019-00229, CVE-2019-10913
Título
Rejeita substituições inválidas de métodos HTTP
Fabricante(s)
Sensio Labs
Produto(s)
Symfony
Versão(ões) afetada(s)
Symfony 2.7.0 anterior à 2.7.50
Symfony 2.8.0 anterior à 2.8.49
Symfony 3.4.0 anterior à 3.4.25
Symfony 4.1.0 anterior à 4.1.11
Symfony 4.2.0 anterior à 4.2.6
Versão(ões) corrigida(s)
Symfony 2.7.51
Symfony 2.8.50
Symfony 3.4.26
Symfony 4.1.12
Symfony 4.2.7
Prova de conceito
Desconhecido
Descrição
Os métodos HTTP, do próprio método HTTP ou usando o cabeçalho X-Http-Method-Override, foram retornados como o método em questão, sem que a validação fosse feita na string, o que significa que eles poderiam ser usados em contextos perigosos quando deixados sem escape.
Detalhes técnicos
Desconhecido
Créditos
Nicolas Grekas
Referência(s)
CVE-2019-10913: Reject invalid HTTP method overrides
https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides
CVE-2019-10913
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10913
CVE-2019-10913
https://nvd.nist.gov/vuln/detail/CVE-2019-10913
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 27 abril 2019