发布日期:2014-06-11
更新日期:2014-06-17
受影响系统:
Zend Zend Framework < 1.12.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 68031
Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.12.7之前版本没有正确过滤"Zend_Db_Select::order()"函数内的输入就将其用在SQL查询内,恶意用户通过注入任意SQL代码,可篡改SQL查询。
<*来源:Cassiano Dal Pizzol
Lars Kneschke
Enrico Zimuel
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Zend
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: