发布日期:2012-09-21
更新日期:2012-09-25
受影响系统:
Zend Zend Framework 2.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 55636
Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发Web程序和服务。
Zend Framework 2.0.1之前版本存在多个跨站脚本执行漏洞,在返回给用户之前,没有正确验证发送到Zend\Feed\PubSubHubbub、Zend\Log\Formatter\Xml、Zend\Tag\Cloud\Decorator、Zend\Uri、Zend\View\Helper\HeadStyle、Zend\View\Helper\Navigation\Sitemap、Zend\View\Helper\Placeholder\Container\AbstractStandalone的一些输入,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码,窃取Cookie身份验证凭证。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Zend
----
Zend已经为此发布了一个安全公告(ZF2012-03)以及相应补丁:
ZF2012-03:ZF2012-03: Potential XSS Vectors in Multiple Zend Framework 2 Components