ГлавнаяБаза уязвимостей БДУ → BDU:2020-01855
10критическая

BDU:2020-01855 (CVE-2019-18889)

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю внедрить произвольный код
Опубликовано: 2020-04-29
Описание

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Symfony (от 3.4.0 до 3.4.34 включительно)Symfony (от 4.2.0 до 4.2.11 включительно)Symfony (от 4.3.0 до 4.3.7 включительно)
Способ устранения

Использование рекомендаций:
Для Symfony:
https://github.com/symfony/symfony/releases/tag/v4.3.8
https://symfony.com/blog/symfony-4-3-8-released
https://symfony.com/blog/cve-2019-18889-forbid-serializing-abstractadapter-and-tagawareadapter-instances

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4573

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/symfony/symfony/releases/tag/v4.3.8https://symfony.com/blog/symfony-4-3-8-releasedhttps://symfony.com/blog/cve-2019-18889-forbid-serializing-abstractadapter-and-tagawareadapter-instanceshttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/https://www.debian.org/security/2019/dsa-4573
Проверьте безопасность своего сайта и почты → Полная проверка домена