支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2021-3007 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Laminas Project laminas-http 2.14.2之前的版本以及Zend Framework 3.0.0存在反序列化漏洞,可能导致远程代码执行。该漏洞与`Zend\Http\Response\Stream`类的`__destruct`方法相关,当内容可被控制时可能发生。

## 影响版本
- Laminas Project laminas-http 2.14.2之前的版本
- Zend Framework 3.0.0

## 漏洞细节
此漏洞涉及`Zend\Http\Response\Stream`类中的`__destruct`方法。如果可控制的内容被反序列化,可能会导致远程代码执行。尽管laminas-http的维护者认为这是“PHP语言本身的问题”,但他们已经增加了一些类型检查来防止攻击者提供的数据被反序列化的案例。

## 影响
此漏洞可能导致远程代码执行,如果攻击者能够控制反序列化的数据内容。值得注意的是,Zend Framework已不再受维护者支持。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Laminas Project laminas-http(在2.14.2版本之前)和Zend Framework 3.0.0中,涉及Stream.php文件中的`Zend\Http\Response\Stream`类的`__destruct`方法,存在反序列化漏洞,可能导致远程代码执行。这种类型的漏洞通常发生在服务端处理特定类型的请求或者数据时,尤其是当含有用户可控的数据时。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Laminas Project laminas-http before 2.14.2, and Zend Framework 3.0.0, has a deserialization vulnerability that can lead to remote code execution if the content is controllable, related to the __destruct method of the Zend\Http\Response\Stream class in Stream.php. NOTE: Zend Framework is no longer supported by the maintainer. NOTE: the laminas-http vendor considers this a "vulnerability in the PHP language itself" but has added certain type checking as a way to prevent exploitation in (unrecommended) use cases where attacker-supplied data can be deserialized
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
多款产品代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ZEND Zend Framework是美国ZEND公司的一套开源的PHP开发框架,它主要用于开发Web程序和服务。Laminas Project laminas-http是Laminas Project的一个 HTTP 消息和标头抽象,以及 HTTP 客户端实现。 Laminas Project laminas-http 2.14.2 之前版本和Zend Framework 3.0.0版本存在代码问题漏洞,该漏洞源于有一个反序列化漏洞,攻击者可利用该漏洞远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-3007 的公开POC
#POC 描述源链接神龙链接
1ZendFramework_CVE-2021-3007 PoChttps://github.com/Vulnmachines/ZF3_CVE-2021-3007POC详情
2Nonehttps://github.com/yunus-a1i/CVE-2021-3007-docker-pocPOC详情
3CVE-2021-3007 Vulnerable Test Environment - Laminas/Zend Framework Deserialization RCEhttps://github.com/KrE80r/cve-2021-3007-vulnerablePOC详情
4Laminas Project laminas-http < 2.14.2 and Zend Framework 3.0.0 contain a deserialization vulnerability caused by __destruct method in Zend\\Http\\Response\\Stream, letting attackers control content lead to remote code execution, exploit requires attacker-controlled serialized data. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-3007.yamlPOC详情
三、漏洞 CVE-2021-3007 的情报信息
四、漏洞 CVE-2021-3007 的评论

暂无评论

发表评论