Symfony Process Component < 5.4.51 / 6.4.x < 6.4.33 / 7.3.x < 7.3.11 / 7.4.x < 7.4.5 / 8.0.x < 8.0.5 引數插入 (GHSA-r39x-jcww-82v6)
medium Nessus Plugin ID 298793
語言:
概要
遠端主機上安裝的 PHP 程式庫受到一個引數插入弱點影響。說明
遠端主機上安裝的 Symfony Process Component 版本為 5.4.51之前的版本或 6.4.x6.4.33] 之前的 版或 7.3.x 之前的 7.3.11版或 7.4.x 之前的 7.4.5版或 8.0.x 之前的 8.0.5版。因此會受到一個引數插入弱點影響。Symfony Process 元件在 Windows 上逸出引數時未正確將某些字元 (尤其是「=」) 視為特殊字元。從 MSYS2 型環境 (例如 Git Bash) 執行 PHP 且 Symfony 處理程序衍生原生 Windows 可執行檔時MSYS2 的引數/路徑轉換可錯誤處理包含這些字元且不具引號的引數。與 Symfony 預期的值相比這可造成衍生處理程序接收損毀/截斷的引數。如果應用程式使用 Symfony 處理程序來叫用路徑引數包含 '=' 的檔案管理命令則 MSYS2 轉換層可能會在運行時間變更引數。在受影響的設定中這可導致在非預期的路徑上執行作業最多可刪除更廣泛目錄或磁碟機的內容。請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。另請注意,此 plugin 不會區分透過 OS 套件管理員安裝的 PHP 套件、透過 Composer 或其他來源安裝的 PHP 套件。因此,您的 OS 套件存放庫所提供的套件可能具有反向移植的修正,此 plugin 可能誤將其報告為有弱點。請參閱 CVE-2026-24739 的 OS 特定 plugin,以檢查是否有反向移植修正。
解決方案
升級至 Symfony Process Component 5.4.51、 6.4.33、 7.3.11、 7.4.5、 8.0.5 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 298793
檔案名稱: symfony_process_CVE-2026-24739.nasl
版本: 1.2
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/2/12
已更新: 2026/2/13
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Medium
基本分數: 5.6
時間性分數: 4.4
媒介: CVSS2#AV:L/AC:H/Au:N/C:N/I:C/A:C
CVSS 評分資料來源: CVE-2026-24739
CVSS v3
風險因素: Medium
基本分數: 6.3
時間性分數: 5.7
媒介: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:sensiolabs:symfony
必要的 KB 項目: language_library/package/composer/enumerated
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/1/28
弱點發布日期: 2026/1/28
參考資訊
CVE: CVE-2026-24739
IAVB: 2026-B-0029