漏洞起因
输入验证错误
危险等级
低
影响系统
Zend Server 5.6
Zend Optimizer+ 4.1
Zend Job Queue 4.0
Zend Java Bridge 3.1
Zend Debugger 5.3
Zend Data Cache 4.0
Zend Code Tracing 1.0
不受影响系统
Zend Server 5.6.0 SP1
危害
远程攻击者可以利用漏洞可获得敏感信息或劫持用户会话。
攻击所需条件
攻击者必须构建恶意URI,诱使用户解析。
漏洞信息
Zend Server是一款用于运行和管理PHP应用的WEB应用服务器。
Zend Server和其组件存在跨站脚本漏洞,多个参数传递给多个脚本在返回用户之前缺少充分过滤,攻击者可以构建恶意URL,诱使用户解析,可获得敏感信息或劫持用户会话。
测试方法
http://www.zeroscience.mk/codes/zend_s03.txt
http://www.zeroscience.mk/codes/zend_s03.html
厂商解决方案
Zend Server 5.6.0 SP1 已经修复此漏洞,建议用户下载使用:
http://static.zend.com/topics/ZS-560-SP1-ReleaseNotes-20120308.txt
漏洞提供者
LiquidWorm
评论关闭。