CVSS: 8.1EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4751
https://notcve.org/view.php?id=CVE-2013-4751
php-symfony2-Validator has loss of information during serialization php-symfony2-Validator, presenta una perdida de información durante la serialización • http://lists.fedoraproject.org/pipermail/package-announce/2013-August/114380.html http://lists.fedoraproject.org/pipermail/package-announce/2013-August/114436.html http://symfony.com/blog/security-releases-symfony-2-0-24-2-1-12-2-2-5-and-2-3-3-released http://www.securityfocus.com/bid/61709 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-4751 https://exchange.xforce.ibmcloud.com/vulnerabilities/86364 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 2CVE-2017-18343
https://notcve.org/view.php?id=CVE-2017-18343
The debug handler in Symfony before v2.7.33, 2.8.x before v2.8.26, 3.x before v3.2.13, and 3.3.x before v3.3.6 has XSS via an array key during exception pretty printing in ExceptionHandler.php, as demonstrated by a /_debugbar/open?op=get URI. NOTE: the vendor's position is that this is not a vulnerability because the debug tools are not intended for production use. NOTE: the Symfony Debug component is used by Laravel Debugbar ** EN DISPUTA ** El manipulador de depuración en Symfony, en versiones anteriores a la v2.7.33, versiones 2.8.x anteriores a la v2.8.26, versiones 3.x anteriores a la v3.2.13 y versiones 3.3.x anteriores a la v3.3.6, tiene Cross-Site Scripting (XSS) mediante una clave de array durante la impresión de excepciones pretty en ExceptionHandler.php, tal y como queda demostrado con un URI /_debugbar/open?op=get. • https://github.com/barryvdh/laravel-debugbar/issues/850 https://github.com/symfony/debug/pull/7/commits/e48bda29143bd1a83001780b4a78e483822d985c https://github.com/symfony/symfony/issues/27987 https://github.com/symfony/symfony/pull/23684 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 1%CPEs: 27EXPL: 0CVE-2016-4423
https://notcve.org/view.php?id=CVE-2016-4423
The attemptAuthentication function in Component/Security/Http/Firewall/UsernamePasswordFormAuthenticationListener.php in Symfony before 2.3.41, 2.7.x before 2.7.13, 2.8.x before 2.8.6, and 3.0.x before 3.0.6 does not limit the length of a username stored in a session, which allows remote attackers to cause a denial of service (session storage consumption) via a series of authentication attempts with long, non-existent usernames. La función attemptAuthentication en Component/Security/Http/Firewall/UsernamePasswordFormAuthenticationListener.php en Symfony en versiones anteriores a 2.3.41, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.6 y 3.0.x en versiones anteriores a 3.0.6 no limita la longitud de un nombre de usuario almacenado en una sesión, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de almacenamiento de sesión) a través de una series de intentos de autenticación con nombres de usuario largos que no existen. • http://www.debian.org/security/2016/dsa-3588 https://github.com/symfony/symfony/pull/18733 https://symfony.com/blog/cve-2016-4423-large-username-storage-in-session • CWE-399: Resource Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 24EXPL: 0CVE-2016-1902
https://notcve.org/view.php?id=CVE-2016-1902
The nextBytes function in the SecureRandom class in Symfony before 2.3.37, 2.6.x before 2.6.13, and 2.7.x before 2.7.9 does not properly generate random numbers when used with PHP 5.x without the paragonie/random_compat library and the openssl_random_pseudo_bytes function fails, which makes it easier for attackers to defeat cryptographic protection mechanisms via unspecified vectors. La función nextBytes en la clase SecureRandom en Symfony en versiones anteriores a 2.3.37, 2.6.x en versiones anteriores a 2.6.13 y 2.7.x en versiones anteriores a 2.7.9 no genera correctamente números aleatorios cuando es usado con PHP 5.x sin la biblioteca paragonie/random_compat y falla la función openssl_random_pseudo_bytes, lo que hace más fácil a los atacantes vencer los mecanismos de protección de cifrado a través de vectores no especificados. • http://symfony.com/blog/cve-2016-1902-securerandom-s-fallback-not-secure-when-openssl-fails http://www.debian.org/security/2016/dsa-3588 https://github.com/symfony/symfony/pull/17359 https://www.landaire.net/blog/cve-2016-1902-symfony-securerandom • CWE-310: Cryptographic Issues •
CVSS: 6.8EPSS: 1%CPEs: 54EXPL: 0CVE-2015-8124
https://notcve.org/view.php?id=CVE-2015-8124
Session fixation vulnerability in the "Remember Me" login feature in Symfony 2.3.x before 2.3.35, 2.6.x before 2.6.12, and 2.7.x before 2.7.7 allows remote attackers to hijack web sessions via a session id. Vulnerabilidad de fijación de sesión en la funcionalidad de inicio de sesión 'Remember Me' en Symfony 2.3.x en versiones anteriores a 2.3.35, 2.6.x en versiones anteriores a 2.6.12 y 2.7.x en versiones anteriores a 2.7.7 permite a atacantes remotos secuestrar sesiones web a través de un id de sesión. • http://lists.fedoraproject.org/pipermail/package-announce/2015-December/173271.html http://lists.fedoraproject.org/pipermail/package-announce/2015-December/173300.html http://seclists.org/fulldisclosure/2015/Dec/89 http://www.debian.org/security/2015/dsa-3402 http://www.securityfocus.com/archive/1/537183/100/0/threaded http://www.securityfocus.com/bid/77694 https://symfony.com/blog/cve-2015-8124-session-fixation-in-the-remember-me-login-feature •