PT-2021-18593 · Laminas+1 · Laminas Project Laminas-Http+1
Weierophinney
·
Publicado
2021-01-04
·
Atualizado
2024-08-03
·
CVE-2021-3007
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do laminas-http do Laminas Project anteriores à 2.14.2
Zend Framework versão 3.0.0
Descrição
O problema está relacionado a uma vulnerabilidade de deserialização que pode levar à execução remota de código se o conteúdo for controlável. Isso se deve ao método
destruct da classe ZendHttpResponseStream no arquivo Stream.php. O fornecedor do laminas-http considera isso uma vulnerabilidade na própria linguagem PHP, mas adicionou certas verificações de tipo como forma de impedir a exploração em casos de uso em que dados fornecidos pelo invasor possam ser deserializados. O Zend Framework não é mais suportado pelo mantenedor.Recomendações
Para versões do laminas-http do Projeto Laminas anteriores à 2.14.2, atualize para a versão 2.14.2 ou posterior para resolver o problema.
Para o Zend Framework versão 3.0.0, não há correção oficial disponível, uma vez que o framework não é mais suportado pelo mantenedor. Como solução temporária, considere desativar o método
destruct da classe ZendHttpResponseStream até que uma solução alternativa seja encontrada.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade no Zend Framework.
Exploit
Correção
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Laminas Project Laminas-Http
Zend Framework