ГлавнаяБаза уязвимостей БДУ → BDU:2019-04121
6.8средняя

BDU:2019-04121 (CVE-2017-16790)

Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2019-11-19
Описание

Уязвимость компонента Form программной платформы для разработки и управления веб-приложениями Symfony существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью специально созданного HTTP-запроса, где значение «FileType» отправляется, как данные POST, которые можно интерпретировать, как локальный путь к файлу на стороне сервера

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Symfony (от 2.7.0 до 2.7.37 включительно)Symfony (от 2.8.0 до 2.8.30 включительно)Symfony (от 3.2.0 до 3.2.13 включительно)Symfony (от 3.3.0 до 3.3.12 включительно)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4262

Для Symfony:
https://symfony.com/blog/cve-2017-16790-ensure-that-submitted-data-are-uploaded-files

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://www.debian.org/security/2018/dsa-4262https://symfony.com/blog/cve-2017-16790-ensure-that-submitted-data-are-uploaded-fileshttps://nvd.nist.gov/vuln/detail/CVE-2017-16790
Проверьте безопасность своего сайта и почты → Полная проверка домена