ГлавнаяБаза уязвимостей БДУ → BDU:2023-01057
7.5высокая

BDU:2023-01057 (CVE-2022-24895)

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с некорректным управлением сеансом, позволяющая нарушителю осуществить CSRF-атаку
Опубликовано: 2023-03-06
Описание

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony связана с некорректным управлением сеансом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Symfony (от 2.0.0 до 4.4.50)Symfony (от 5.0.0 до 5.4.20)Symfony (от 6.0.0 до 6.0.20)Symfony (от 6.1.0 до 6.1.12)Symfony (от 6.2.0 до 6.2.6)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Symfony:
https://github.com/symfony/symfony/security/advisories/GHSA-3gv2-29qc-v67m

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-24895

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения symfony до версии 3.4.22+dfsg-2+deb10u3

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет symfony до 2.8.7+dfsg-1.3+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://github.com/FriendsOfPHP/security-advisories/blob/master/symfony/security-bundle/CVE-2022-24895.yamlhttps://github.com/symfony/security-bundle/commit/076fd2088ada33d760758d98ff07ddedbf567946https://github.com/symfony/symfony/commit/5909d74ecee359ea4982fcf4331aaf2e489a1fd4https://github.com/symfony/symfony/security/advisories/GHSA-3gv2-29qc-v67mhttps://security-tracker.debian.org/tracker/CVE-2022-24895https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена