Symfony 漏洞列表

Symfony 2.3.19 through 2.3.28, 2.4.9 through 2.4.10, 2.5.4 through 2.5.11, and 2.6.0 through 2.6.7, when ESI or SSI support enabled, does not check if the _controller attribute is set, which allows remote attackers to bypass URL signing and security rules by including (1) no hash or (2) an invalid hash in a request to /_fragment in the HttpKernel component.

symfony/runtime is a module for the Symphony PHP framework which enables decoupling PHP applications from global state. When the `register_argv_argc` php directive is set to `on` , and users call any URL with a special crafted query string, they are able to change the environment or debug mode used by the kernel when handling the request. As of versions 5.4.46, 6.4.14, and 7.1.7 the `SymfonyRuntime` now ignores the `argv` values for non-SAPI PHP runtimes.

Symfony是Symfony公司的一个用于 Web 和控制台应用程序的 PHP 框架以及一组可重用的 PHP 组件。 Symfony存在注入漏洞，该漏洞源于允许将PHP应用程序与全局状态分离。

web应用程序使用Symfony框架。Symfony调试模式启用。调试模式应该在生产环境中关闭，因为它会导致有关web应用程序的敏感信息泄露。

Symfony app_dev.php中存在信息泄露漏洞，此漏洞是由于应用程序对参数file数据缺乏校验导致的。

Symfony 是一个基于 PHP 开发的、用于快速开发现代 Web 应用程序的开源 MVC 框架。 Symfony _fragment 接口存在远程代码执行漏洞， 攻击者可以利用该漏洞执行任意命令。