Zend_XmlRpc в Zend Framework 1.x до 1.11.12 и 1.12.x до 1.12.0 неправильно обрабатывает классы SimpleXMLElement, что позволяет удаленным зл…
Zend_XmlRpc в Zend Framework 1.x до 1.11.12 и 1.12.x до 1.12.0 неправильно обрабатывает классы SimpleXMLElement, что позволяет удаленным злоумышленникам читать произвольные файлы или создавать TCP-соединения через внешнюю ссылку на сущность в элементе DOCTYPE в запросе XML-RPC, также известную как атака внедрения XML внешних сущностей (XXE).
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| moodle | Отслеживается | |
| moodle | Отслеживается | |
| zend-framework | Отслеживается | |
| zend-framework | Отслеживается | |
| zend-framework | Отслеживается | |
| zend-framework | Отслеживается | |
| zend-framework | Отслеживается | |
| zend-framework | Отслеживается | |
| zend-framework | Отслеживается | |
| zendframework | Отслеживается | |
| zendframework | Отслеживается | |
| zendframework | Отслеживается | |
| zendframework | Отслеживается | |
| zendframework | Отслеживается | |
| debian_linux | * | Отслеживается |
| fedora | * | Отслеживается |
| zend_framework | * | Отслеживается |