Összefoglaló
A Zend Framework egy közepes veszélyességű biztonsági hibát tartalmaz. Ennek kihasználásával rosszindulatú támadók SQL injection alapú támadásokat hajthatnak végre.
Leírás
A sebezhetőség a PostgreSQL adapterben található, amely esetenként nem ellenőrzi megfelelően az SQL lekérdezéseket. Emiatt tetszőleges SQL-ek válhatnak lefuttathatóvá, ami adatbázisok kompromittálásához vagy adatszivárgáshoz vezethet.
A hiba kizárólag a PostgreSQL adapter használata esetén jelent kockázatot.
Megoldás
A 2.2.10 vagy a 2.3.5 verzióra való frissítés
Támadás típusa
SQL InjectionHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-0270 - NVD CVE-2015-0270
Gyártói referencia: framework.zend.com
