Zend Framework ‘Zend_Feed’组件信息泄露漏洞

日期: 2012/12/30 | 标签:zend | 游览：524

漏洞起因
设计错误信息泄露
危险等级
低

影响系统
Zend Framework 1.11.6
Zend Framework 1.11.4
Zend Framework 1.11.3
Zend Framework 1.10.9
Zend Framework 1.10.4
Zend Framework 1.10.3
Zend Framework 1.10.2

不受影响系统

危害
远程攻击者可以利用漏洞获取本地敏感文件信息。

攻击所需条件
攻击者必须访问Zend Framework应用。

漏洞信息
Zend Framework是一款开放源代码的PHP5开发框架实现。
在处理XML数据时”Zend_Feed”组件中的”Zend_Feed_Rss”和”Zend_Feed_Atom” 类存在一个安全漏洞，允许攻击者利用漏洞发送包含外部实体引用的特制的XML数据，获取本地文件内容。

测试方法

厂商解决方案
Zend Framework 1.11.15或1.12.1已经修复此漏洞，建议用户下载使用：
http://framework.zend.com

漏洞提供者
Yury Dyachenko at Positive Research Center

← WordPress CMSMasters Themes ‘upload.php’任意文件上传漏洞

IBM Lotus Notes Client URL Handler Command Injection →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Zend Framework ‘Zend_Feed’组件信息泄露漏洞

评论关闭。