Zend Framework多个跨站脚本执行漏洞

日期: 2012/09/25 | 标签:zend | 游览：405

受影响系统：

Zend Zend Framework 2.x

描述：

BUGTRAQ ID: 55636

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架，可用于来开发Web程序和服务。

Zend Framework 2.0.1之前版本存在多个跨站脚本执行漏洞，在返回给用户之前，没有正确验证发送到Zend\Feed\PubSubHubbub、Zend\Log\Formatter\Xml、Zend\Tag\Cloud\Decorator、Zend\Uri、Zend\View\Helper\HeadStyle、Zend\View\Helper\Navigation\Sitemap、Zend\View\Helper\Placeholder\Container\AbstractStandalone的一些输入，攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码，窃取Cookie身份验证凭证。

<*来源：Robert Basic

链接：http://secunia.com/advisories/50682/
http://framework.zend.com/security/advisory/ZF2012-03
*>

建议：

厂商补丁：

Zend
—-
Zend已经为此发布了一个安全公告（ZF2012-03）以及相应补丁:

ZF2012-03：ZF2012-03: Potential XSS Vectors in Multiple Zend Framework 2 Components

链接：http://framework.zend.com/security/advisory/ZF2012-03

← Linux Kernel ‘next_pidmap()’本地拒绝服务漏洞

Oracle Database身份验证协议安全限制绕过漏洞(CVE-2012-3137) →