Zend Framework XML外部实体和安全绕过漏洞
漏洞版本:
Zend Framework 1.x
漏洞描述:
Bugtraq ID:66358 Zend Framework是一款开放源代码的PHP5开发框架实现。 Zend Framework存在多个安全漏洞: 1,处理XML实体时存在错误,允许攻击者通过特制的包含外部实体引用的XML文档来获取本地文件内容或消耗服务器资源。 2,ZendOpenId和Zend_OpenId consumer的登录机制存在错误,允许攻击者利用漏洞无需任意验证凭据伪造其他用户/身份。
<* 参考
http://framework.zend.com/security/advisory/ZF2014-01*>
http://framework.zend.com/security/advisory/ZF2014-02
http://sebug.net/appdir/Zend+Framework
安全建议:
Zend Framework 1.12.4已经修复该漏洞,建议用户下载更新: http://framework.zend.com