製品・ソフトウェアに関する情報

JVN脆弱性詳細

Symfony における URI の制限を回避される脆弱性

Title	Symfony における URI の制限を回避される脆弱性
Summary	Symfony は、ルーティングおよびセキュリティコンポーネントにおいて、エンコードされた URI を適切に処理しないため、URI の制限を回避される脆弱性が存在します。
Possible impacts	第三者により、二重にエンコードされた文字列を介して、URI の制限を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 20, 2012, midnight
Registration Date	Dec. 28, 2012, 3:18 p.m.
Last Update	Dec. 28, 2012, 3:18 p.m.

Affected System

Sensio Labs

Symfony 2.0.20 未満の 2.0.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-6431	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6431
National Vulnerability Database (NVD)
2	CVE-2012-6431	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6431

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Sensio Labs
1	Security release: Symfony 2.0.20 and 2.1.5 released	http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released

Change Log

No	Changed Details	Date of change
0	[2012年12月28日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-6431

Summary	Symfony 2.0.x before 2.0.20 does not process URL encoded data consistently within the Routing and Security components, which allows remote attackers to bypass intended URI restrictions via a doubly encoded string.
Publication Date	Dec. 27, 2012, 8:47 p.m.
Registration Date	Jan. 28, 2021, 3:07 p.m.
Last Update	Nov. 21, 2024, 10:46 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released		Vendor Advisory
2	http://symfony.com/blog/security-release-symfony-2-0-20-and-2-1-5-released		Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html