NVD Vulnerability Detail

CVE-2015-4050

Summary	FragmentListener in the HttpKernel component in Symfony 2.3.19 through 2.3.28, 2.4.9 through 2.4.10, 2.5.4 through 2.5.11, and 2.6.0 through 2.6.7, when ESI or SSI support enabled, does not check if the _controller attribute is set, which allows remote attackers to bypass URL signing and security rules by including (1) no hash or (2) an invalid hash in a request to /_fragment.
Publication Date	June 2, 2015, 11:59 p.m.
Registration Date	Jan. 26, 2021, 2:50 p.m.
Last Update	Nov. 21, 2024, 11:30 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://lists.fedoraproject.org/pipermail/package-announce/2015-June/159513.html
2	http://lists.fedoraproject.org/pipermail/package-announce/2015-June/159513.html
3	http://lists.fedoraproject.org/pipermail/package-announce/2015-June/159603.html
4	http://lists.fedoraproject.org/pipermail/package-announce/2015-June/159603.html
5	http://lists.fedoraproject.org/pipermail/package-announce/2015-June/159610.html
6	http://lists.fedoraproject.org/pipermail/package-announce/2015-June/159610.html
7	http://symfony.com/blog/cve-2015-4050-esi-unauthorized-access	Vendor Advisory
8	http://symfony.com/blog/cve-2015-4050-esi-unauthorized-access	Vendor Advisory
9	http://www.debian.org/security/2015/dsa-3276
10	http://www.debian.org/security/2015/dsa-3276
11	http://www.securityfocus.com/bid/74928
12	http://www.securityfocus.com/bid/74928

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html

JVN Vulnerability Information

Symfony の HttpKernel コンポーネントの FragmentListener における URL 署名およびセキュリティルールを回避される脆弱性

Title	Symfony の HttpKernel コンポーネントの FragmentListener における URL 署名およびセキュリティルールを回避される脆弱性
Summary	Symfony の HttpKernel コンポーネントの FragmentListener は、ESI または SSI サポートが有効な場合、_controller 属性が設定されているかどうかをチェックしないため、URL 署名およびセキュリティルールを回避される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
Possible impacts	第三者により、/_fragment へのリクエスト内に (1）ハッシュを含めない、または (2) 無効なハッシュを含められることで、URL 署名およびセキュリティルールを回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 27, 2015, midnight
Registration Date	June 4, 2015, 1:50 p.m.
Last Update	June 4, 2015, 1:50 p.m.

Affected System

Sensio Labs

Symfony 2.3.19 から 2.3.28

Symfony 2.4.9 から 2.4.10

Symfony 2.5.4 から 2.5.11

Symfony 2.6.0 から 2.6.7

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-4050	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4050
National Vulnerability Database (NVD)
2	CVE-2015-4050	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4050
Sensio Labs
3	CVE-2015-4050: ESI unauthorized access	http://symfony.com/blog/cve-2015-4050-esi-unauthorized-access

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

Change Log

No	Changed Details	Date of change
0	[2015年06月04日] 掲載	Feb. 17, 2018, 10:37 a.m.