Zend-framework
Уязвимости
12
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.50248
Распределение по критичности
Критический
5
Высокий
0
Средний
7
Низкий
0
Также сопоставлено как (исходные строки): zend-framework
Топ уязвимостей
CVE-2016-4861Методы (1) order и (2) group в Zend_Db_Select в Zend Framework до версии 1.12.20 могут позволить удаленным злоумышленникам проводить SQL-инъекции, используя неудаление комментариев из SQL-запроса перед проверкой.
CVE-2015-7695PDO-адаптеры в Zend Framework до версии 1.12.16 не фильтруют нулевые байты в SQL-запросах, что позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через специально созданный запрос.
CVE-2014-8089Уязвимость SQL-инъекции в Zend Framework до 1.12.9, 2.2.x до 2.2.8 и 2.3.x до 2.3.3 при использовании расширения sqlsrv PHP позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через нулевой байт.
CVE-2015-1555Zend/Session/SessionManager в Zend Framework 2.2.x до версии 2.2.9, 2.3.x до версии 2.3.4 позволяет удаленным злоумышленникам создавать действительные сеансы без использования валидаторов сеансов.
CVE-2012-3363Zend_XmlRpc в Zend Framework 1.x до 1.11.12 и 1.12.x до 1.12.0 неправильно обрабатывает классы SimpleXMLElement, что позволяет удаленным злоумышленникам читать произвольные файлы или создавать TCP-соединения через внешнюю ссылку на сущность в элементе DOCTYPE в запросе XML-RPC, также известную как атака внедрения XML внешних сущностей (XXE).
CVE-2012-6531(1) Zend_Dom, (2) Zend_Feed и (3) Zend_Soap в Zend Framework 1.x до версии 1.11.13 и 1.12.x до версии 1.12.0 неправильно обрабатывают классы SimpleXMLElement, что позволяет удаленным злоумышленникам читать произвольные файлы или создавать TCP-соединения через внешнюю ссылку на сущность в элементе DOCTYPE в XML-RPC запросе, также известную как атака с внедрением XML внешней сущности (XXE), уязвимость, отличная от CVE-2012-3363.
CVE-2015-3154Уязвимость CRLF-инъекции в Zend\Mail (Zend_Mail) в Zend Framework до версий 1.12.12, 2.x до версии 2.3.8 и 2.4.x до версии 2.4.1 позволяет удаленным злоумышленникам внедрять произвольные HTTP-заголовки и проводить атаки HTTP response splitting через CRLF-последовательности в заголовке электронного письма.
CVE-2012-4451Множественные уязвимости межсайтового скриптинга (XSS) в Zend Framework 2.0.x до 2.0.1 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанный ввод в (1) Debug, (2) Feed\PubSubHubbub, (3) Log\Formatter\Xml, (4) Tag\Cloud\Decorator, (5) Uri, (6) View\Helper\HeadStyle, (7) View\Helper\Navigation\Sitemap или (8) View\Helper\Placeholder\Container\AbstractStandalone, связанные с Escaper.
CVE-2014-8088(1) Класс Zend_Ldap в Zend до 1.12.9 и (2) компонент Zend\Ldap в Zend 2.x до 2.2.8 и 2.3.x до 2.3.3 позволяют удаленным злоумышленникам обходить аутентификацию через пароль, начинающийся с нулевого байта, что вызывает неаутентифицированную привязку.
CVE-2012-6532(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap и (4) Zend_XmlRpc в Zend Framework 1.x до версии 1.11.13 и 1.12.x до версии 1.12.0 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов ЦП) через рекурсивные или циклические ссылки в определении XML-сущности в объявлении XML DOCTYPE, также известную как атака расширения XML-сущности (XEE).
CVE-2012-5657Классы (1) Zend_Feed_Rss и (2) Zend_Feed_Atom в Zend_Feed в Zend Framework 1.11.x до версии 1.11.15 и 1.12.x до версии 1.12.1 позволяют удаленным злоумышленникам читать произвольные файлы, отправлять HTTP-запросы на серверы интрасети и, возможно, вызывать отказ в обслуживании (потребление ЦП и памяти) через атаку с использованием XML External Entity (XXE).
CVE-2011-3825Zend Framework 1.11.3 в Zend Server CE 5.1.0 позволяет удаленным злоумышленникам получать конфиденциальную информацию через прямой запрос к .php-файлу, который раскрывает путь установки в сообщении об ошибке, как продемонстрировано в Validate.php и некоторых других файлах.