Zend Framework 输入验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1169202 漏洞类型 输入验证
发布时间 2013-02-13 更新时间 2013-02-13
CVE编号 CVE-2012-6531 CNNVD-ID CNNVD-201302-242
漏洞平台 N/A CVSS评分 6.4
|漏洞来源
https://www.securityfocus.com/bid/57980
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201302-242
|漏洞详情
ZendFramework(ZF)是美国Zend公司开发的一套开源的PHP5开发框架,它主要用于开发Web程序和服务。ZendFramework1.11.13之前的1.x版本以及1.12.0之前的1.12.x版本中的(1)Zend_Dom,(2)Zend_Feed,以及(3)Zend_Soap中存在漏洞。通过XML-RPC请求中的DOCTYPE元素中的外部实体引用,远程攻击者可利用该漏洞读取任意文件或创建多个TCP连接。
|受影响的产品
Zend Zend Framework 1.11.12
|参考资料

来源:MLIST
名称:[oss-security]20120627Re:XXEinZend
链接:http://www.openwall.com/lists/oss-security/2012/06/27/2
来源:MLIST
名称:[oss-security]20120626Re:XXEinZend
链接:http://www.openwall.com/lists/oss-security/2012/06/26/4
来源:MLIST
名称:[oss-security]20120626XXEinZend
链接:http://www.openwall.com/lists/oss-security/2012/06/26/2
来源:DEBIAN
名称:DSA-2505
链接:http://www.debian.org/security/2012/dsa-2505
来源:framework.zend.com
链接:http://framework.zend.com/security/advisory/ZF2012-01