Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞
Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞
发布日期:2014-06-11
更新日期:2014-06-17
受影响系统:
Zend Zend Framework < 1.12.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 68031
Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.12.7之前版本没有正确过滤"Zend_Db_Select::order()"函数内的输入就将其用在SQL查询内,恶意用户通过注入任意SQL代码,可篡改SQL查询。
<*来源:Cassiano Dal Pizzol
Lars Kneschke
Enrico Zimuel
链接:http://secunia.com/advisories/58847/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Zend
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://framework.zend.com/security/advisory/
http://framework.zend.com/security/advisory/ZF2014-04
本文永久更新链接地址:
评论暂时关闭