Zend Framework sérülékenység

2012. június 26. 08:11

CH azonosító

CH-7095

Angol cím

Zend Framework "Zend_XmlRpc" XML Entity References Information Disclosure Vulnerability

Felfedezés dátuma

2012.06.25.

Súlyosság

Alacsony

Érintett rendszerek

Zend Framework
Zend Technologies

Érintett verziók

Zend Framework 1.x

Összefoglaló

A Zend Framework egy sérülékenységét jelentették, amelyet kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

A sérülékenység oka egy a “Zend_XmlRpc” osztály XML adatok feldolgozásakor fellépő hibája, amely kihasználható bizonyos helyi fájlok tartalmának kiszivárogtatására speciálisan megszerkesztett XML fájlokon keresztül, amikben külső hivatkozások vannak (external entity references).
A “Zend_XmlRpc”, “Zend_Dom”, “Zend_Feed” és “Zend_Soap” osztályok XML entitás hivatkozásokat tartalmazó XML DOCTYPE deklarációk feldolgozása közben keletkező hibáját kihasználva a rendelkezésre álló memória és processzor erőforrások teljes leterhelését lehet előidézni speciálisan összeállított, külső hivatkozásokat tartalmazó XML adatok segítségével.

A sérülékenységet az 1.11.12 és 1.12.0 előtti verziókban jelentették.

Legfrissebb sérülékenységek

WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége

CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége

CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége

CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége

CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége

CVE-2024-10224 – Linux ScanDeps sérülékenysége

CVE-2024-11003 – Linux needrestart sérülékenysége

CVE-2024-48992 – Linux needrestart sérülékenysége

CVE-2024-48991 – Linux needrestart sérülékenysége

CVE-2024-48990 – Linux needrestart sérülékenysége

Tovább a sérülékenységekhez »

Zend Framework sérülékenység