Zend Framework sérülékenységek

CH azonosító

CH-8725

Angol cím

Zend Framework Multiple Vulnerabilities

Felfedezés dátuma

2013.03.15.

Súlyosság

Közepes

Érintett rendszerek

Zend Framework
Zend Technologies

Érintett verziók

Zend Framework 2.x

Összefoglaló

A Zend Framework több sérülékenységét jelentették, amelyeket a támadók kihasználva bizalmas információkat szerezhetnek meg, manipulálhatnak bizonyos adatokat, valamint SQL befecskendezéses (SQL injection) támadásokat indíthatnak.

Leírás

  1. A ZendMvc komponens a lekérdezési paraméterek feldolgozása során keletkező hibáját kihasználva módosítani lehet a feldolgozott routing paramétereket.
  2. A  ZendValidateCsrf komponens a CSRF tokeneket a kriptografikusan gyenge mt_rand() függvényt használja entrópia forrásnak. Ezt kihasználva meg lehet ismerni az mt_rand() kimenetét, amelyet seed recovery támadásban lehet felhasználni.
  3. A  ZendDb komponens platform interfészének “quoteValue()” és “quoteValueList()” metódusainak átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülnének. Ezt kihasználva módosítani lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével.
    A sérülékenység sikeres kihasználásához szükséges, hogy az alkalmazás az érintett metódusokat közvetlenül felhasználja (a ZendDb komponens nem használja ezeket).

A sérülékenységeket a 2.0.8 és 2.1.4 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: framework.zend.com
Gyártói referencia: framework.zend.com
Gyártói referencia: framework.zend.com
SECUNIA 52622


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »