Vigil@nce - Symfony : quatre vulnérabilités
septembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Symfony.
Produits concernés : Symfony
Gravité : 2/4
Date création : 04/09/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans Symfony.
Un attaquant peut employer un entête HTTP Host, afin de mener un
déni de service. [grav:2/4 ; CVE-2014-5244]
Lorsque ESI est actif, et qu’un proxy est utilisé, un attaquant
peut employer FragmentHandler, afin d’obtenir des informations
sensibles. [grav:2/4 ; CVE-2014-5245]
Un attaquant peut provoquer un Cross Site Request Forgery dans Web
Profiler, afin de forcer la victime à effectuer des opérations.
[grav:2/4 ; CVE-2014-6072]
L’entête HTTP Authorization n’est pas analysé de manière correcte,
ce qui pourrait conduire à une vulnérabilité. [grav:1/4 ;
CVE-2014-6061]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Symfony-quatre-vulnerabilites-15277