Vulnérabilités dans Symfony

Gestion du document

Référence	CERTA-2013-AVI-002
Titre	Vulnérabilités dans Symfony
Date de la première version	02 janvier 2013
Date de la dernière version	02 janvier 2013
Source(s)	Bulletin de sécurité Symfony du 20 décembre 2012

Risques

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

Versions antérieures à Symfony 2.2

Résumé

Deux vulnérabilités ont été corrigées dans Symfony. La première concerne un accès aux routes du pare-feu au moyen d'un double encodage d'URL. La seconde peut mener un utilisateur malintentionné à exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Symfony du 20 décembre 2012

http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released

Référence CVE CVE-2012-6431

https://www.cve.org/CVERecord?id=CVE-2012-6431

Référence CVE CVE-2012-6432

https://www.cve.org/CVERecord?id=CVE-2012-6432

Avis du CERT-FR