阿里云漏洞库

漏洞描述

Zend Framework 1.11.15之前的1.11.x版本和1.12.1版本之前的1.12.x版本中的（1）Zend_Feed_Rss和（2）Zend_Feed_Atom类允许远程攻击者通过XML外部实体（XXE）攻击来读取任意文件，向内部网服务器发送HTTP请求，并可能导致拒绝服务（CPU和内存消耗）。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://framework.zend.com/security/advisory/ZF2012-05
http://openwall.com/lists/oss-security/2012/12/20/2
http://openwall.com/lists/oss-security/2012/12/20/4
http://secunia.com/advisories/51583
http://www.debian.org/security/2012/dsa-2602
http://www.mandriva.com/security/advisories?name=MDVSA-2013:115

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zend	zend_framework	1.11.0	-
	运行在以下环境
	应用	zend	zend_framework	1.11.1	-
	运行在以下环境
	应用	zend	zend_framework	1.11.10	-
	运行在以下环境
	应用	zend	zend_framework	1.11.11	-
	运行在以下环境
	应用	zend	zend_framework	1.11.12	-
	运行在以下环境
	应用	zend	zend_framework	1.11.13	-
	运行在以下环境
	应用	zend	zend_framework	1.11.2	-
	运行在以下环境
	应用	zend	zend_framework	1.11.3	-
	运行在以下环境
	应用	zend	zend_framework	1.11.4	-
	运行在以下环境
	应用	zend	zend_framework	1.11.5	-
	运行在以下环境
	应用	zend	zend_framework	1.11.6	-
	运行在以下环境
	应用	zend	zend_framework	1.11.7	-
	运行在以下环境
	应用	zend	zend_framework	1.11.8	-
	运行在以下环境
	应用	zend	zend_framework	1.11.9	-
	运行在以下环境
	应用	zend	zend_framework	1.12.0	-
	运行在以下环境
	系统	amazon_AMI	php-ZendFramework	*		Up to (excluding) 1.12.1-1.6.amzn1
	运行在以下环境
	系统	fedora_EPEL_6	php-ZendFramework-extras	*		Up to (excluding) 1.12.1-1.el6

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-200	信息暴露

低危 Zend Framework 至 1.12.0 Zend_Feed_Rss XXE 信息泄漏漏洞

漏洞描述

解决建议

参考链接

受影响软件情况