当前位置:首页-正文

开发者请注意:Zend Framework出现反序列化漏洞可远程执行任意代码

Zend Framework是个开源的面向对象的WEB应用程序开发框架,目前该框架在PHP上的下载安装次数高达6.39亿次。

本周有安全研究人员发现该框架出现一个反序列化安全漏洞,该漏洞也可能影响Zend Framework框架的继任者Laminas Project的某些实例。

研究人员Liu Yizhou已经在Github上对该漏洞的细节进行披露,其针对的是Zend Framework 3.0.0版,在某些情况下易受攻击的PHP应用程序可能会受到远程代码执行漏洞。

需要注意的是不可信的反序列化问题必须来自易受攻击的应用程序,并且本身Zend Framework并不存在漏洞,但Zend提供的类链可以帮助攻击者实现远程代码执行。

有兴趣的开发者可以点击这里查看相关分析:https://github.com/Ling-Yizhou/zendframework3-

以下是漏洞poc:

开发者请注意:Zend Framework出现反序列化漏洞可远程执行任意代码

本文来源蓝点网,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。

相关文章

换一批