CVE-2015-8124:“记住我”登录特性中的会话固定
2015年11月23日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony 2.3.0到2.3.34、2.6.0 - 2.6.11、2.7.0 - 2.7.6版本的Security组件受此安全问题影响。
此问题已在Symfony 2.3.35、2.6.12和2.欧宝娱乐app下载地址7.7中修复。注意,没有为Symfony 2.4和2.5提供修复,因为它们不再被维护。欧宝娱乐app下载地址欧宝娱乐app下载地址Symfony 2.8和3.0还没有发布,修复将包含在它们的第一个稳定版本中。
描述
“记住我”登录功能中的会话固定漏洞允许攻击者在攻击者之前知道会话id值的情况下对web应用程序冒充受害者。
该漏洞允许攻击者使用被攻击用户的权限访问Symfony web应用程序。欧宝娱乐app下载地址攻击要求应用程序使用“记住我”登录功能。此外,攻击者可以访问PHPSESSID
Cookie值或已在用户浏览器中成功设置了新值。由于其要求,所描述的漏洞仅构成低风险。
学分
我要感谢RedTeam Pentesting GmbH团队报告了这个安全问题,并提供了非常详细的问题描述以及如何重现它(当前的咨询基于此)。感谢Sergey Novikov和Christian Flothmann为不同的Symfony版本编写修复。欧宝娱乐app下载地址
发表在#安全警告
是否发现Symfony存在安全问题?欧宝娱乐app下载地址请将详情发送至www.oldmanjams.com的安全欧宝娱乐app下载地址在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。欧宝娱乐app下载地址
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。