CVE-2024-51996丨Symphony 通过 RememberMe 绕过身份验证

2024年11月14日 56点热度 0人点赞 0条评论

CVE编号

CVE-2024-51996

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-14

Symphony进程是Symphony PHP框架的一个模块，用于在子进程中执行命令。在消费持久化的记住我cookie时，Symfony并没有检查数据库中持久化的用户名是否与cookie中附带的用户名匹配，这导致了认证绕过漏洞。此漏洞已在版本5.4.47、6.4.15和7.1.8中得到修复。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/symfony/symfony/commit/81354d392c5f0b7a52bcbd729d6f82501e94135a
https://github.com/symfony/symfony/security/advisories/GHSA-cg23-qf8f-62rr