漏洞标题
N/A
漏洞描述信息
(1)在 Zend Framework 1.x 之前版本1.11.13 和 1.12.0 之前版本中,SimpleXMLElement 类未正确处理。这导致远程攻击者可以通过在 XML-RPC 请求中的 DOCTYPE 元素中的外部实体引用来读取任意文件或创建 TCP 连接,即通过 XML 外部实体 (XXE) 注入攻击,这是一种与 CVE-2012-3363 不同的漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
(1) Zend_Dom, (2) Zend_Feed, and (3) Zend_Soap in Zend Framework 1.x before 1.11.13 and 1.12.x before 1.12.0 do not properly handle SimpleXMLElement classes, which allow remote attackers to read arbitrary files or create TCP connections via an external entity reference in a DOCTYPE element in an XML-RPC request, aka an XML external entity (XXE) injection attack, a different vulnerability than CVE-2012-3363.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Zend Framework 输入验证漏洞
漏洞描述信息
Zend Framework(ZF)是美国Zend公司开发的一套开源的PHP5开发框架,它主要用于开发Web程序和服务。 Zend Framework 1.11.13之前的1.x版本以及1.12.0之前的1.12.x版本中的(1)Zend_Dom,(2)Zend_Feed,以及(3)Zend_Soap中存在漏洞。通过XML-RPC请求中的DOCTYPE元素中的外部实体引用,远程攻击者可利用该漏洞读取任意文件或创建多个TCP连接。
CVSS信息
N/A
漏洞类别
授权问题