製品・ソフトウェアに関する情報

JVN脆弱性詳細

Symfony におけるクロスサイトスクリプティングの脆弱性

タイトル	Symfony におけるクロスサイトスクリプティングの脆弱性
概要	未確定本件は、脆弱性として確定していません。 Symfony には、クロスサイトスクリプティングの脆弱性が存在します。ベンダは、本脆弱性に対して異議を唱えています。詳細については、以下の NVD の Current Description を確認してください。 https://nvd.nist.gov/vuln/detail/CVE-2017-18343
想定される影響	情報を取得される、および情報を改ざんされる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2017年8月1日0:00
登録日	2018年10月15日17:40
最終更新日	2018年10月15日17:40

影響を受けるシステム

Sensio Labs

Symfony 2.7.33 未満

Symfony 2.8.26 未満の 2.8.x

Symfony 3.2.13 未満の 3.x

Symfony 3.3.6 未満の 3.3.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-18343	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-18343
National Vulnerability Database (NVD)
2	CVE-2017-18343	https://nvd.nist.gov/vuln/detail/CVE-2017-18343

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
GitHub
1	fix XSS vulnerability #7	https://github.com/symfony/debug/pull/7/commits/e48bda29143bd1a83001780b4a78e483822d985c
2	Security Vulnerability - Cross-site Scripting #27987	https://github.com/symfony/symfony/issues/27987
3	[Debug] Missing escape in debug output #23684	https://github.com/symfony/symfony/pull/23684

変更履歴

No	変更内容	変更日
1	[2018年10月15日] 掲載	2018年10月15日17:40

NVD脆弱性情報

CVE-2017-18343

概要	The debug handler in Symfony before v2.7.33, 2.8.x before v2.8.26, 3.x before v3.2.13, and 3.3.x before v3.3.6 has XSS via an array key during exception pretty printing in ExceptionHandler.php, as demonstrated by a /_debugbar/open?op=get URI. NOTE: the vendor's position is that this is not a vulnerability because the debug tools are not intended for production use. NOTE: the Symfony Debug component is used by Laravel Debugbar
公表日	2018年7月20日9:29
登録日	2021年1月26日13:20
最終更新日	2024年11月21日12:19

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	https://github.com/barryvdh/laravel-debugbar/issues/850	Exploit Third Party Advisory
2	https://github.com/barryvdh/laravel-debugbar/issues/850	Exploit Third Party Advisory
3	https://github.com/symfony/debug/pull/7/commits/e48bda29143bd1a83001780b4a78e483822d985c	Patch Third Party Advisory
4	https://github.com/symfony/debug/pull/7/commits/e48bda29143bd1a83001780b4a78e483822d985c	Patch Third Party Advisory
5	https://github.com/symfony/symfony/issues/27987	Exploit Third Party Advisory
6	https://github.com/symfony/symfony/issues/27987	Exploit Third Party Advisory
7	https://github.com/symfony/symfony/pull/23684	Third Party Advisory
8	https://github.com/symfony/symfony/pull/23684	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html