Zend Framework sérülékenysége


2017. január 2. 10:31

CH azonosító

CH-13808

Angol cím

Zend Framework Input Validation Flaw in zend-mail Lets Remote Users Execute Arbitrary Code on the Target System

Felfedezés dátuma

2016.12.29.

Súlyosság

Közepes

Érintett rendszerek

Zend Framework
Zend Technologies

Érintett verziók

Zend Framework 2.4.11-től korábbi verziói

Összefoglaló

A Zend Framework különböző verzióinak közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat.

Leírás

Egy távoli felhasználó speciálisan szerkesztett input adatokat vihet be a Zend Framework, „zend-mail” komponensének „send email” opciója segítségével. Kihasználva a komponens nem megfelelő bemeneti adatellenőrzésének hibáját, a támadónak tetszőleges kód futtatására nyílik lehetősége a webszerver környezetében, a célpont webes alkalmazás jogosultságaival.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input Validation
Input manipulation (Bemenet módosítás)
execute arbitrary code

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: framework.zend.com
Egyéb referencia: securitytracker.com
Egyéb referencia: legalhackers.com
CVE-2016-10034 - NVD CVE-2016-10034

Legfrissebb sérülékenységek
CVE-2025-9491 – Microsoft Windows LNK File UI Misrepresentation Remote Code Execution sebezhetősége
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2021-26829 – OpenPLC ScadaBR Cross-site Scripting sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
Tovább a sérülékenységekhez »