CVE-2013-4751
https://notcve.org/view.php?id=CVE-2013-4751
php-symfony2-Validator has loss of information during serialization php-symfony2-Validator, presenta una perdida de información durante la serialización • http://lists.fedoraproject.org/pipermail/package-announce/2013-August/114380.html http://lists.fedoraproject.org/pipermail/package-announce/2013-August/114436.html http://symfony.com/blog/security-releases-symfony-2-0-24-2-1-12-2-2-5-and-2-3-3-released http://www.securityfocus.com/bid/61709 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-4751 https://exchange.xforce.ibmcloud.com/vulnerabilities/86364 • CWE-20: Improper Input Validation •
CVE-2017-11365
https://notcve.org/view.php?id=CVE-2017-11365
Certain Symfony products are affected by: Incorrect Access Control. This affects Symfony 2.7.30 and Symfony 2.8.23 and Symfony 3.2.10 and Symfony 3.3.3. The type of exploitation is: remote. The component is: Password validator. Ciertos productos de Symfony se ven afectados por: Control de Acceso Incorrecto. • https://github.com/symfony/symfony/commit/878198cefae028386c6dc800ccbf18f2b9cbff3f https://github.com/symfony/symfony/pull/23507 • CWE-284: Improper Access Control •
CVE-2019-10912
https://notcve.org/view.php?id=CVE-2019-10912
In Symfony before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, it is possible to cache objects that may contain bad user input. On serialization or unserialization, this could result in the deletion of files that the current user has access to. This is related to symfony/cache and symfony/phpunit-bridge. En Symfony versión anterior a 2.8.50, versión 3.x anterior a 3.4.26, versión 4.x anterior a 4.1.12 y versión 4.2.x anterior a 4.2.7, es posible guardar en caché objetos que pueden contener información errada del usuario. En la serialización o unserialization, esto podría resultar en la eliminación de archivos a los que el usuario actual tiene acceso. • https://github.com/symfony/symfony/commit/4fb975281634b8d49ebf013af9e502e67c28816b https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/42UEKSLKJB72P24JBWVN6AADHLMYSUQD https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6QEAOZXVNDA63537A2OIH4QE77EKZR5O https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BAC2TQVEEH5FDJSSWPM2BCRIPTCOEMMO https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BHHIG4GMSGEIDT3RITSW7GJ5 • CWE-502: Deserialization of Untrusted Data •
CVE-2019-10913
https://notcve.org/view.php?id=CVE-2019-10913
In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, HTTP Methods provided as verbs or using the override header may be treated as trusted input, but they are not validated, possibly causing SQL injection or XSS. This is related to symfony/http-foundation. En Symfony la versión anterior a 2.7.51, versión 2.8.x anterior a 2.8.50, versión 3.x anterior a 3.4.26, versión 4.x anterior a 4.1.12 y versión 4.2.x anterior a 4.2.7, los métodos HTTP se proporcionan como verbos o usando el encabezado de anulación pueden tratarse como entradas de confianza, pero no están validadas, lo que posiblemente provoque la inyección de SQL o XSS. Esto está relacionado con Symfony/http-foundation. • https://github.com/symfony/symfony/commit/944e60f083c3bffbc6a0b5112db127a10a66a8ec https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2019-10911
https://notcve.org/view.php?id=CVE-2019-10911
In Symfony before 2.7.51, 2.8.x before 2.8.50, 3.x before 3.4.26, 4.x before 4.1.12, and 4.2.x before 4.2.7, a vulnerability would allow an attacker to authenticate as a privileged user on sites with user registration and remember me login functionality enabled. This is related to symfony/security. En Symfony la versión anterior a 2.7.51, versión 2.8.x anterior a 2.8.50, versión 3.x anterior a 3.4.26, versión 4.x anterior a 4.1.12 y versión 4.2.x anterior a 4.2.7, una vulnerabilidad permitiría que un atacante se identifique como un Usuario privilegiado en sitios con registro de usuario y recordar la funcionalidad de inicio de sesión habilitada. Esto está relacionado con Symfony/Seguridad. • https://github.com/symfony/symfony/commit/a29ce2817cf43bb1850cf6af114004ac26c7a081 https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-cookie-hash https://www.synology.com/security/advisory/Synology_SA_19_19 • CWE-287: Improper Authentication •