中国站

Sensio Labs Symfony 安全漏洞

CNNVD-ID编号 CNNVD-202111-2076 CVE编号 CVE-2021-41270
发布时间 2021-11-24 更新时间 2021-11-25
漏洞类型 其他 漏洞来源 N/A
危险等级 中危 威胁类型 远程
厂商 N/A

漏洞介绍

Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。 Symfony 存在安全漏洞,该漏洞源于软件容易受到CSV注入的影响,也被称为公式注入。在Symfony 4.1中,维护人员在“CsvEncoder”中添加了opt-In“csvu escapeu formulas”选项,以在所有以“=”、“+”、“-”或“@”开头的单元格前面加上制表符“ ”。此后,OWASP在该列表中添加了两个字符:制表符(0x09)和回车符(0x0D)。这使得前面的前缀char(Tab` `)成为易受攻击的字符的一部分。

漏洞补丁

目前厂商已发布升级了Sensio Labs Symfony 安全漏洞的补丁,Sensio Labs Symfony 安全漏洞的补丁获取链接: https://github.com/symfony/symfony/security/advisories/GHSA-2xhg-w2g5-w95x

参考网址

受影响实体

暂无

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间