发布日期：2012-12-19
更新日期：2012-12-20

受影响系统：

Zend Zend Framework 1.11.6
Zend Zend Framework 1.11.4
Zend Zend Framework 1.11.3
Zend Zend Framework 1.10.9
Zend Zend Framework 1.10.4
Zend Zend Framework 1.10.3
Zend Zend Framework 1.10.2

描述：

---

BUGTRAQ  ID: 56982
CVE(CAN) ID: CVE-2012-5657

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架，可用于来开发 web 程序和服务。

Zend Framework 1.11.15、1.12.1之前版本的Zend_Feed_Rss、Zend_Feed_Atom类由于使用了不安全的PHP DOM扩展，其"Zend_Feed"组件在处理xml数据时存在漏洞，通过发送包含有外部实体引用的特制XML数据，攻击者可利用此漏洞打开任意文件，最终导致了本地文件信息泄露漏洞。

<*来源：Yury Dyachenko
  
  链接：http://secunia.com/advisories/51583/
        http://framework.zend.com/security/advisory/ZF2012-05
*>

建议：

---

厂商补丁：

Zend
----
Zend已经为此发布了一个安全公告（ZF2012-05）以及相应补丁:

ZF2012-05：ZF2012-05: Potential XML eXternal Entity injection vectors in Zend Framework 1 Zend_Feed component

链接：http://framework.zend.com/security/advisory/ZF2012-05

浏览次数：3952
严重程度：0（网友投票）