Zikula Application Framework PHP对象注入漏洞

发布日期:2014-03-10
更新日期:2014-03-14

受影响系统:
Zikula Zikula Application Framework 1.3.6 build 28
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-2293

Zikula Application Framework是开源的应用框架。

Zikula Application Framework 1.3.6 build 28版本在实现上存在安全漏洞,可被恶意利用篡改某些数据或控制受影响系统。

1、当 "module" 设置为 "users", "func" 设置为 "register", "csrftoken" 设置为有效值, "registration_info" 设置为有效值时,没有正确过滤index.php的"authentication_method_ser"及"authentication_info_ser" POST参数值,即将其用于调用 "unserialize()" 函数。

成功利用该漏洞需要启用用户注册。

2、没有正确过滤index.php内的"zikulaMobileTheme" cookie参数值,即将其用于调用 /lib/util/SecurityUtil.php 脚本内的 "unserialize()" 函数。

<*来源:Egidio Romano
 
  链接:
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Zikula
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


Zikula:
?module=News&func=display&sid=3138

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/94886859653acc4d22baff57bb8cf235.html