CH azonosító
CH-13808Angol cím
Zend Framework Input Validation Flaw in zend-mail Lets Remote Users Execute Arbitrary Code on the Target SystemFelfedezés dátuma
2016.12.29.Súlyosság
KözepesÉrintett rendszerek
Zend FrameworkZend Technologies
Érintett verziók
Zend Framework 2.4.11-től korábbi verziói
Összefoglaló
A Zend Framework különböző verzióinak közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat.
Leírás
Egy távoli felhasználó speciálisan szerkesztett input adatokat vihet be a Zend Framework, „zend-mail” komponensének „send email” opciója segítségével. Kihasználva a komponens nem megfelelő bemeneti adatellenőrzésének hibáját, a támadónak tetszőleges kód futtatására nyílik lehetősége a webszerver környezetében, a célpont webes alkalmazás jogosultságaival.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input ValidationInput manipulation (Bemenet módosítás)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: framework.zend.com
Egyéb referencia: securitytracker.com
Egyéb referencia: legalhackers.com
CVE-2016-10034 - NVD CVE-2016-10034