N/A

(1) Zend_Dom, (2) Zend_Feed, and (3) Zend_Soap in Zend Framework 1.x before 1.11.13 and 1.12.x before 1.12.0 do not properly handle SimpleXMLElement classes, which allow remote attackers to read arbitrary files or create TCP connections via an external entity reference in a DOCTYPE element in an XML-RPC request, aka an XML external entity (XXE) injection attack, a different vulnerability than CVE-2012-3363.

N/A

N/A

Zend Framework 输入验证漏洞

Zend Framework（ZF）是美国Zend公司开发的一套开源的PHP5开发框架，它主要用于开发Web程序和服务。 Zend Framework 1.11.13之前的1.x版本以及1.12.0之前的1.12.x版本中的(1)Zend_Dom，(2)Zend_Feed，以及(3)Zend_Soap中存在漏洞。通过XML-RPC请求中的DOCTYPE元素中的外部实体引用，远程攻击者可利用该漏洞读取任意文件或创建多个TCP连接。

N/A

N/A