Nome do software vulnerável e versões afetadas:

Versões do Zend Framework anteriores à 1.11.13 e à 1.12.0

Descrição:

O problema diz respeito ao uso inseguro da extensão DOM do PHP em Zend Feed Rss e Zend Feed Atom, permitindo possíveis vetores de ataque por Entidade Externa XML (XXE). Isso poderia ser explorado adicionando um elemento DOCTYPE específico aos feeds, permitindo a abertura de arquivos arbitrários e/ou conexões TCP.

Recomendações:

Para versões anteriores à 1.11.13 e 1.12.0, considere atualizar para a versão 1.11.13 ou 1.12.0 para resolver o problema. Como solução temporária, considere restringir o uso das classes Zend Feed Rss e Zend Feed Atom até que um patch seja aplicado. Além disso, evite usar o método de fábrica Zend Feed::import() com entradas não confiáveis até que o problema seja resolvido.