Podatność CVE-2020-5255


Publikacja: 2020-03-30

Opis:
In Symfony before versions 4.4.7 and 5.0.7, when a `Response` does not contain a `Content-Type` header, affected versions of Symfony can fallback to the format defined in the `Accept` header of the request, leading to a possible mismatch between the response's content and `Content-Type` header. When the response is cached, this can prevent the use of the website by other users. This has been patched in versions 4.4.7 and 5.0.7.

Typ:

CWE-20

(Improper Input Validation)

CVSS2 => (AV:N/AC:L/Au:S/C:N/I:N/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4/10
2.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Brak
Częściowy
Affected software
Sensiolabs -> Symfony 

 Referencje:
https://github.com/symfony/symfony/commit/dca343442e6a954f96a2609e7b4e9c21ed6d74e6
https://github.com/symfony/symfony/security/advisories/GHSA-mcx4-f5f5-4859
https://symfony.com/blog/cve-2020-5255-prevent-cache-poisoning-via-a-response-content-type-header

Copyright 2024, cxsecurity.com

 

Back to Top