发布日期:2013-02-13
更新日期:2013-03-08受影响系统:
Zend Zend Framework 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57980
CVE ID: CVE-2012-6531
Zend Framework (ZF) 是一个开源 PHP5 开发框架。
Zend Framework 1.11.13、1.12.0之前版本内的(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap没有正确处理SimpleXMLElement类,这使得远程攻击者可利用XML-RPC请求中DOCTYPE元素内的外部实体引用(external entity reference)注入攻击,从而读取任意文件或创建TCP连接。
<*来源:Kestutis Gudinavicius
Johannes Greil
链接:http://framework.zend.com/security/advisory/ZF2012-02
http://framework.zend.com/security/advisory/ZF2012-01
*>建议:
--------------------------------------------------------------------------------
厂商补丁:
Zend
----
Zend已经为此发布了一个安全公告(ZF2012-02)以及相应补丁:
ZF2012-02:ZF2012-02: Denial of Service vector via XEE injection
链接:http://framework.zend.com/security/advisory/ZF2012-02PHPCMS v9 文件后缀提取错误代码上传漏洞Cisco Prime Infrastructure跨站请求伪造漏洞相关资讯 Zend Framework安全漏洞
Zend Framework "Zend_Feed"组件信 (12/20/2012 18:56:40) 本文评论 查看全部评论 (0)
尊重网上道德,遵守中华人民共和国的各项有关法律法规 承担一切因您的行为而直接或间接导致的民事或刑事法律责任 本站管理
收藏该网址
易网时代-编程资源站