CVE-2024-28859

Symfony1 is a community fork of symfony 1.4 with DIC, form enhancements, latest Swiftmailer, better performance, composer compatible and PHP 8 support. Symfony 1 has a gadget chain due to vulnerable Swift Mailer dependency that would enable an attacker to get remote code execution if a developer unserialize user input in his project. This vulnerability present no direct threat but is a vector that will enable remote code execution if a developper deserialize user untrusted data. Symfony 1 depends on Swift Mailer which is bundled by default in vendor directory in the default installation since 1.3.0. Swift Mailer classes implement some `__destruct()` methods. These methods are called when php destroys the object in memory. However, it is possible to include any object type in `$this->_keys` to make PHP access to another array/object properties than intended by the developer. In particular, it is possible to abuse the array access which is triggered on foreach($this->_keys ...) for any class implementing ArrayAccess interface. This may allow an attacker to execute any PHP command which leads to remote code execution. This issue has been addressed in version 1.5.18. Users are advised to upgrade. There are no known workarounds for this vulnerability.

CVSS v3 5.0 MEDIUM

5.0^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 3.4

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact LOW

Scope UNCHANGED

References

Link	Resource
https://github.com/FriendsOfSymfony1/symfony1/commit/edb850f94fb4de18ca53d0d1824910d6e8130166
https://github.com/FriendsOfSymfony1/symfony1/security/advisories/GHSA-wjv8-pxr6-5f4r
https://github.com/FriendsOfSymfony1/symfony1/commit/edb850f94fb4de18ca53d0d1824910d6e8130166
https://github.com/FriendsOfSymfony1/symfony1/security/advisories/GHSA-wjv8-pxr6-5f4r

Configurations

No configuration.

History

21 Nov 2024, 09:07

Type	Values Removed	Values Added
Summary		(es) Symfony1 es una bifurcación comunitaria de Symfony 1.4 con DIC, mejoras en los formularios, el último Swiftmailer, mejor rendimiento, compatible con compositor y soporte para PHP 8. Symfony 1 tiene una cadena de gadgets debido a la dependencia vulnerable de Swift Mailer que permitiría a un atacante obtener la ejecución remota de código si un desarrollador deserializa la entrada del usuario en su proyecto. Esta vulnerabilidad no presenta una amenaza directa, pero es un vector que permitirá la ejecución remota de código si un desarrollador deserializa datos del usuario que no son de confianza. Symfony 1 depende de Swift Mailer, que se incluye de forma predeterminada en el directorio de proveedores en la instalación predeterminada desde 1.3.0. Las clases de Swift Mailer implementan algunos métodos `__destruct()`. Estos métodos se llaman cuando php destruye el objeto en la memoria. Sin embargo, es posible incluir cualquier tipo de objeto en `$this->_keys` para que PHP acceda a otras propiedades de matriz/objeto distintas a las previstas por el desarrollador. En particular, es posible abusar del acceso a la matriz que se activa en foreach($this->_keys...) para cualquier clase que implemente la interfaz ArrayAccess. Esto puede permitir a un atacante ejecutar cualquier comando PHP que conduzca a la ejecución remota de código. Este problema se solucionó en la versión 1.5.18. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
References	~~() https://github.com/FriendsOfSymfony1/symfony1/commit/edb850f94fb4de18ca53d0d1824910d6e8130166 -~~	() https://github.com/FriendsOfSymfony1/symfony1/commit/edb850f94fb4de18ca53d0d1824910d6e8130166 -
References	~~() https://github.com/FriendsOfSymfony1/symfony1/security/advisories/GHSA-wjv8-pxr6-5f4r -~~	() https://github.com/FriendsOfSymfony1/symfony1/security/advisories/GHSA-wjv8-pxr6-5f4r -

15 Mar 2024, 23:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-03-15 23:15

Updated : 2024-11-21 09:07

NVD link : CVE-2024-28859

Mitre link : CVE-2024-28859

CVE.ORG link : CVE-2024-28859

JSON object : View

Products Affected

No product.

CWE

CWE-502

Deserialization of Untrusted Data

5.0 /10