开发者请注意:Zend Framework出现反序列化漏洞可远程执行任意代码

Zend Framework是个开源的面向对象的WEB应用程序开发框架,目前该框架在PHP上的下载安装次数高达6.39亿次。

本周有安全研究人员发现该框架出现一个反序列化安全漏洞,该漏洞也可能影响Zend Framework框架的继任者Laminas Project的某些实例。

研究人员Liu Yizhou已经在Github上对该漏洞的细节进行披露,其针对的是Zend Framework 3.0.0版,在某些情况下易受攻击的PHP应用程序可能会受到远程代码执行漏洞。

需要注意的是不可信的反序列化问题必须来自易受攻击的应用程序,并且本身Zend Framework并不存在漏洞,但Zend提供的类链可以帮助攻击者实现远程代码执行。

有兴趣的开发者可以点击这里查看相关分析:https://github.com/Ling-Yizhou/zendframework3-

以下是漏洞poc:

开发者请注意:Zend Framework出现反序列化漏洞可远程执行任意代码

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

1 条评论,访客:1 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.3.8.2000 Maxthon 5.3.8.2000 Windows 10 64位版 Windows 10 64位版

    赶紧修补漏洞啊!

发表评论