Zend Framework < 2.0.0 beta4 < 1.12 RC1 < 1.11.11 - 本地文件泄漏漏洞

admin

0
文章

0
评论

2023-11-25 01:39:22 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

高危 Zend Framework < 2.0.0 beta4 < 1.12 RC1 < 1.11.11 - 本地文件泄漏漏洞

CVE编号

CVE-2012-3363

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2013-02-14

漏洞描述

Zend Framework 1.x 1.11.12之前的Zend_XmlRpc和1.12.0之前的1.12.x无法正确处理SimpleXMLElement类，这使远程攻击者可以通过XML的DOCTYPE元素中的外部实体引用读取任意文件或创建TCP连接-RPC请求，也称为XML外部实体（XXE）注入攻击。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://framework.zend.com/security/advisory/ZF2012-01
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34284
http://lists.fedoraproject.org/pipermail/package-announce/2013-April/101310.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-April/101358.html
http://openwall.com/lists/oss-security/2013/03/25/2
http://www.debian.org/security/2012/dsa-2505
http://www.openwall.com/lists/oss-security/2012/06/26/2
http://www.openwall.com/lists/oss-security/2012/06/26/4
http://www.openwall.com/lists/oss-security/2012/06/27/2
http://www.securitytracker.com/id?1027208
https://moodle.org/mod/forum/discuss.php?d=225345
https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zend	zend_framework	1.0.0	-
	运行在以下环境
	应用	zend	zend_framework	1.0.1	-
	运行在以下环境
	应用	zend	zend_framework	1.0.2	-
	运行在以下环境
	应用	zend	zend_framework	1.0.3	-
	运行在以下环境
	应用	zend	zend_framework	1.0.4	-
	运行在以下环境
	应用	zend	zend_framework	1.10.0	-
	运行在以下环境
	应用	zend	zend_framework	1.10.1	-
	运行在以下环境
	应用	zend	zend_framework	1.10.2	-
	运行在以下环境
	应用	zend	zend_framework	1.10.3	-
	运行在以下环境
	应用	zend	zend_framework	1.10.4	-
	运行在以下环境
	应用	zend	zend_framework	1.10.5	-
	运行在以下环境
	应用	zend	zend_framework	1.10.6	-
	运行在以下环境
	应用	zend	zend_framework	1.10.7	-
	运行在以下环境
	应用	zend	zend_framework	1.10.8	-
	运行在以下环境
	应用	zend	zend_framework	1.10.9	-
	运行在以下环境
	应用	zend	zend_framework	1.11.0	-
	运行在以下环境
	应用	zend	zend_framework	1.11.1	-
	运行在以下环境
	应用	zend	zend_framework	1.11.10	-
	运行在以下环境
	应用	zend	zend_framework	1.11.11	-
	运行在以下环境
	应用	zend	zend_framework	1.11.2	-
	运行在以下环境
	应用	zend	zend_framework	1.11.3	-
	运行在以下环境
	应用	zend	zend_framework	1.11.4	-
	运行在以下环境
	应用	zend	zend_framework	1.11.5	-
	运行在以下环境
	应用	zend	zend_framework	1.11.6	-
	运行在以下环境
	应用	zend	zend_framework	1.11.7	-
	运行在以下环境
	应用	zend	zend_framework	1.11.8	-
	运行在以下环境
	应用	zend	zend_framework	1.11.9	-
	运行在以下环境
	应用	zend	zend_framework	1.12.0	-
	运行在以下环境
	应用	zend	zend_framework	1.5.0	-
	运行在以下环境
	应用	zend	zend_framework	1.5.1	-
	运行在以下环境
	应用	zend	zend_framework	1.5.2	-
	运行在以下环境
应用	zend	zend_framework	1.5.3	-
运行在以下环境
应用	zend	zend_framework	1.6.0	-
运行在以下环境
应用	zend	zend_framework	1.6.1	-
运行在以下环境
应用	zend	zend_framework	1.6.2	-
运行在以下环境
应用	zend	zend_framework	1.7.0	-
运行在以下环境
应用	zend	zend_framework	1.7.1	-
运行在以下环境
应用	zend	zend_framework	1.7.2	-
运行在以下环境
应用	zend	zend_framework	1.7.3	-
运行在以下环境
应用	zend	zend_framework	1.7.4	-
运行在以下环境
应用	zend	zend_framework	1.7.5	-
运行在以下环境
应用	zend	zend_framework	1.7.6	-
运行在以下环境
应用	zend	zend_framework	1.7.7	-
运行在以下环境
应用	zend	zend_framework	1.7.8	-
运行在以下环境
应用	zend	zend_framework	1.7.9	-
运行在以下环境
应用	zend	zend_framework	1.8.0	-
运行在以下环境
应用	zend	zend_framework	1.8.1	-
运行在以下环境
应用	zend	zend_framework	1.8.2	-
运行在以下环境
应用	zend	zend_framework	1.8.3	-
运行在以下环境
应用	zend	zend_framework	1.8.4	-
运行在以下环境
应用	zend	zend_framework	1.8.5	-
运行在以下环境
应用	zend	zend_framework	1.9.0	-
运行在以下环境
应用	zend	zend_framework	1.9.1	-
运行在以下环境
应用	zend	zend_framework	1.9.2	-
运行在以下环境
应用	zend	zend_framework	1.9.3	-
运行在以下环境
应用	zend	zend_framework	1.9.4	-
运行在以下环境
应用	zend	zend_framework	1.9.5	-
运行在以下环境
应用	zend	zend_framework	1.9.6	-
运行在以下环境
应用	zend	zend_framework	1.9.7	-
运行在以下环境
应用	zend	zend_framework	1.9.8	-
运行在以下环境
系统	fedora_EPEL_6	moodle	*		Up to (excluding) 1.12.0-1.el6
运行在以下环境
系统	ubuntu_18.04.5_lts	zendframework	*		Up to (excluding) 1.12.20+dfsg-1ubuntu1
运行在以下环境
系统	ubuntu_18.10	zendframework	*		Up to (excluding) 1.12.20+dfsg-1ubuntu1