Zend Framework多个远程任意文件访问漏洞(CVE

发布日期:2013-02-13
更新日期:2013-03-08

受影响系统:
Zend Zend Framework 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57980
 CVE ID: CVE-2012-6531
 
Zend Framework (ZF) 是一个开源 PHP5 开发框架。
 
Zend Framework 1.11.13、1.12.0之前版本内的(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap没有正确处理SimpleXMLElement类,这使得远程攻击者可利用XML-RPC请求中DOCTYPE元素内的外部实体引用(external entity reference)注入攻击,从而读取任意文件或创建TCP连接。
 
<*来源:Kestutis Gudinavicius
        Johannes Greil
 
  链接:
       
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Zend
 ----
 Zend已经为此发布了一个安全公告(ZF2012-02)以及相应补丁:
 
ZF2012-02:ZF2012-02: Denial of Service vector via XEE injection
 链接:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://127.0.0.1/wyyppx.html