发布日期:2013-02-13
更新日期:2013-03-08
受影响系统:
Zend Zend Framework 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57980
CVE ID: CVE-2012-6531
Zend Framework (ZF) 是一个开源 PHP5 开发框架。
Zend Framework 1.11.13、1.12.0之前版本内的(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap没有正确处理SimpleXMLElement类,这使得远程攻击者可利用XML-RPC请求中DOCTYPE元素内的外部实体引用(external entity reference)注入攻击,从而读取任意文件或创建TCP连接。
<*来源:Kestutis Gudinavicius
Johannes Greil
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Zend
----
Zend已经为此发布了一个安全公告(ZF2012-02)以及相应补丁:
ZF2012-02:ZF2012-02: Denial of Service vector via XEE injection
链接: