Zend Framework 'Zend_Feed'组件信息泄露漏洞
Zend Framework 'Zend_Feed'组件信息泄露漏洞
发布日期:2012-12-19
更新日期:2012-12-20
受影响系统:
Zend Zend Framework 1.11.6
Zend Zend Framework 1.11.4
Zend Zend Framework 1.11.3
Zend Zend Framework 1.10.9
Zend Zend Framework 1.10.4
Zend Zend Framework 1.10.3
Zend Zend Framework 1.10.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56982
Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.11.15、1.12.1之前版本的Zend_Feed_Rss、Zend_Feed_Atom类由于使用了不安全的PHP DOM扩展,其"Zend_Feed"组件在处理xml数据时存在漏洞,通过发送包含有外部实体引用的特制XML数据,攻击者可利用此漏洞打开任意文件,最终导致了本地文件信息泄露漏洞。
<*来源:Yury Dyachenko
链接:http://secunia.com/advisories/51583/
http://framework.zend.com/security/advisory/ZF2012-05
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Zend
----
Zend已经为此发布了一个安全公告(ZF2012-05)以及相应补丁:
ZF2012-05:ZF2012-05: Potential XML eXternal Entity injection vectors in Zend Framework 1 Zend_Feed component
链接:http://framework.zend.com/security/advisory/ZF2012-05
评论暂时关闭