根據應用程式自我報告的版本號，偵測到的 Drupal 應用程式受到 Symfony 程式庫 X-Original-URL 和 X-Rewrite-URL HTTP 標頭支援中的弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Web 應用程式元件有時可能依賴 'X-Original-URL' 或 'X-Rewrite-URL' 等 HTTP 要求標頭來覆寫此要求的原始路徑。攻擊者可利用此弱點發動進一步攻擊，以繞過限製或發動快取毒害攻擊。

根據其自我報告的版本號碼，遠端網頁伺服器上執行的 Drupal 執行個體是 8.5.6 之前的 8.x 版。因此，會受到內嵌 Symfony 程式庫中的一個限制繞過弱點影響。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

在 Symfony PHP 架構中發現多個弱點，這些弱點可導致快取繞過、驗證繞過、資訊洩漏、開放重新導向、跨網站要求偽造、任意檔案刪除，或任意程式碼執行。

在 PHP web 應用程式架構 symfony 中發現數個安全性弱點。多個 symfony 元件受到影響：安全性、套件組合讀取器、工作階段處理、SecurityBundle、HttpFoundation、Form 和 Security\Http。對應的上游公告包含進一步詳細資料：[CVE-2017-16652] https://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on -security-handlers [CVE-2017-16654] https://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-o ut-of-paths [CVE-2018-11385] https://symfony.com/blog/cve-2018-11385-session-fixation-issue-for-gua rd-authentication [CVE-2018-11408] https://symfony.com/blog/cve-2018-11408-open-redirect-vulnerability-on -security-handlers [CVE-2018-14773] https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and- risky-http-headers [CVE-2018-19789] https://symfony.com/blog/cve-2018-19789-disclosure-of-uploaded-files-f ull-path [CVE-2018-19790] https://symfony.com/blog/cve-2018-19790-open-redirect-vulnerability-wh en-using-security-http 針對 Debian 8「Jessie」，這些問題已在 2.3.21+dfsg-4+deb8u4 版本中修正。建議您升級 symfony 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	產品	系列	已發布	已更新	嚴重性
98581	Drupal 8.x < 8.5.6 Symfony 舊版 HTTP 標頭弱點	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	medium
98580	Drupal 8.6.x < 8.6.0-beta2 Symfony 舊版 HTTP 標頭弱點	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	medium
114262	要求 URL 覆寫	Web App Scanning	Web Applications	2024/4/22	2024/4/22	medium
111599	Drupal 8.x < 8.5.6 Symfony Risky HTTP 標頭限制繞過弱點 (SA-CORE-2018-005)	Nessus	CGI abuses	2018/8/9	2022/4/11	medium
124779	Debian DSA-4441-1：symfony - 安全性更新	Nessus	Debian Local Security Checks	2019/5/13	2020/1/21	critical
122721	Debian DLA-1707-1：symfony 安全性更新	Nessus	Debian Local Security Checks	2019/3/11	2021/1/11	high

偵測

搜尋 Plugin

medium

medium

medium

medium

critical

high