| タイトル | Sensio LabsのSymfonyにおける複数の脆弱性 |
|---|---|
| 概要 | Symfonyは、ウェブおよびコンソールアプリケーション向けのPHPフレームワークであり、再利用可能なPHPコンポーネントのセットを提供しています。6.4.40、7.4.12、および8.0.12以前のバージョンでは、MailjetメールブリッジおよびLOX24通知ブリッジのWebhookパーサーが設定されたWebhookシークレットを受け取っていましたが、それを検証していませんでした。そのため、認証されていないPOSTリクエストによって偽造されたMailjetおよびLOX24イベントのペイロードが注入される可能性がありました。この問題は、バージョン6.4.40、7.4.12、および8.0.12で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年7月14日0:00 |
| 登録日 | 2026年7月17日11:17 |
| 最終更新日 | 2026年7月17日11:17 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Sensio Labs |
| Symfony 6.4.0 以上 6.4.40 未満 |
| Symfony 7.0.0 以上 7.4.12 未満 |
| Symfony 8.0.0 以上 8.0.12 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年07月17日] 掲載 |
2026年7月17日11:17 |
| 概要 | Symfony is a PHP framework for web and console applications and a set of reusable PHP components. Prior to 6.4.40, 7.4.12, and 8.0.12, the Mailjet mailer bridge and LOX24 notifier bridge webhook parsers received configured webhook secrets but did not verify them, allowing unauthenticated POST requests to inject forged Mailjet and LOX24 event payloads. This issue is fixed in versions 6.4.40, 7.4.12, and 8.0.12. |
|---|---|
| 公表日 | 2026年7月15日4:17 |
| 登録日 | 2026年7月16日4:22 |
| 最終更新日 | 2026年7月16日12:12 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* | 6.4.0 | 6.4.40 | |||
| cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* | 7.0.0 | 7.4.12 | |||
| cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* | 8.0.0 | 8.0.12 | |||