漏洞标题
N/A
漏洞描述信息
在 Zend Framework 1.x 前版本 1.11.12 和 1.12.x 前版本 1.12.0 中, Zend_XmlRpc 未正确处理 SimpleXMLElement 类,这使得远程攻击者可以通过 XML-RPC 请求中的DOCTYPE 元素外部实体引用来读取任意文件或创建 TCP 连接,即实现了 XML 外部实体 (XXE) 注入攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Zend_XmlRpc in Zend Framework 1.x before 1.11.12 and 1.12.x before 1.12.0 does not properly handle SimpleXMLElement classes, which allows remote attackers to read arbitrary files or create TCP connections via an external entity reference in a DOCTYPE element in an XML-RPC request, aka an XML external entity (XXE) injection attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Zend Framework ‘Zend_XmlRpc’类信息泄露漏洞
漏洞描述信息
Zend Framework(ZF)是美国Zend公司开发的一套开源的PHP5开发框架,它主要用于开发Web程序和服务。 Zend Framework 1.11.13之前的1.x版本以及1.12.0之前的1.12.x版本中的Zend_XmlRpc中存在漏洞。通过XML-RPC请求中的DOCTYPE元素中的外部实体引用,远程攻击者可利用该漏洞读取任意文件或创建多个TCP连接。
CVSS信息
N/A
漏洞类别
授权问题