Zend Framework sérülékenysége


2017. január 2. 10:31

CH azonosító

CH-13808

Angol cím

Zend Framework Input Validation Flaw in zend-mail Lets Remote Users Execute Arbitrary Code on the Target System

Felfedezés dátuma

2016.12.29.

Súlyosság

Közepes

Érintett rendszerek

Zend Framework
Zend Technologies

Érintett verziók

Zend Framework 2.4.11-től korábbi verziói

Összefoglaló

A Zend Framework különböző verzióinak közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat.

Leírás

Egy távoli felhasználó speciálisan szerkesztett input adatokat vihet be a Zend Framework, „zend-mail” komponensének „send email” opciója segítségével. Kihasználva a komponens nem megfelelő bemeneti adatellenőrzésének hibáját, a támadónak tetszőleges kód futtatására nyílik lehetősége a webszerver környezetében, a célpont webes alkalmazás jogosultságaival.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input Validation
Input manipulation (Bemenet módosítás)
execute arbitrary code

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: framework.zend.com
Egyéb referencia: securitytracker.com
Egyéb referencia: legalhackers.com
CVE-2016-10034 - NVD CVE-2016-10034

Legfrissebb sérülékenységek
CVE-2026-20643 – Apple WebKit sérülékenysége
CVE-2026-23816 – HPE AOS-CX sérülékenysége
CVE-2026-23815 – HPE AOS-CX sérülékenysége
CVE-2026-23814 – HPE AOS-CX sérülékenysége
CVE-2025-47813 – Wing FTP Server Information Disclosure sérülékenység
CVE-2026-23813 – HPE AOS-CX sérülékenysége
CVE-2026-3910 – Google Chromium V8 Improper Restriction of Operations Within the Bounds of a Memory Buffer sérülékenység
CVE-2026-3909 – Google Skia Out-of-Bounds Write sérülékenység
CVE-2026-26127 – Microsoft .NET Denial of Service sérülékenység
CVE-2026-21262 – Microsoft SQL Server Elevation of Privilege sérülékenység
Tovább a sérülékenységekhez »