Zend Studio függvényleíró script beszúrás sérülékenység

CH azonosító

CH-3303

Felfedezés dátuma

2010.07.11.

Súlyosság

Közepes

Érintett rendszerek

N/A

Érintett verziók

Zend Studio 6.x
Zend Studio 7.x

Összefoglaló

A Zend Studio olyan sérülékenysége vált ismertté, amelyet rosszindulatú támadók kihasználhatnak  a felhasználói rendszer feltörésére.

Leírás

A sérülékenységet a függvényleírók nem megfelelő ellenőrzése okozza, mielőtt azok a tooltip dialógusokban megjelenítésre kerülnek. Ez kihasználható tetszőleges script kód futtatására és  helyi alkalmazások elindítására, amennyiben a megtévesztett felhasználó megnyit egy erre a célra kialakított PHP fájlt és egy rosszindulatú függvényleíró megjelenítésre kerül a tooltip dialógusban.

A sérülékenységet a a Windows operációs rendszer alatt futó 7.2.0-ás verzióban fedezték fel. Más verziók is érintettek lehetnek.

Megoldás

Ne nyisson meg nem megbízható PHP fájlokat.