开发者请注意:Zend Framework出现反序列化漏洞可远程执行任意代码
Zend Framework是个开源的面向对象的WEB应用程序开发框架,目前该框架在PHP上的下载安装次数高达6.39亿次。
本周有安全研究人员发现该框架出现一个反序列化安全漏洞,该漏洞也可能影响Zend Framework框架的继任者Laminas Project的某些实例。
研究人员Liu Yizhou已经在Github上对该漏洞的细节进行披露,其针对的是Zend Framework 3.0.0版,在某些情况下易受攻击的PHP应用程序可能会受到远程代码执行漏洞。
需要注意的是不可信的反序列化问题必须来自易受攻击的应用程序,并且本身Zend Framework并不存在漏洞,但Zend提供的类链可以帮助攻击者实现远程代码执行。
有兴趣的开发者可以点击这里查看相关分析:https://github.com/Ling-Yizhou/zendframework3-
以下是漏洞poc: