Nome do software vulnerável e versões afetadas:

Versões do Zend Framework anteriores à versão corrigida

Descrição:

O problema diz respeito à geração de desafios CAPTCHA. Especificamente, os componentes Zend Captcha Word (v1) e ZendCaptchaWord (v2) utilizam a função interna do PHP array rand() para selecionar uma sequência de letras aleatórias a partir de um conjunto de caracteres. Essa função não fornece entropia suficiente devido à sua dependência de rand() em vez de métodos mais seguros, como openssl pseudo random bytes(). Como resultado, um invasor pode ser capaz de usar força bruta na geração de números aleatórios, o que pode levar à divulgação de informações.

Recomendações:

Para versões anteriores à versão corrigida, considere usar um método criptograficamente mais seguro para gerar números aleatórios, como openssl pseudo random bytes(), para substituir a função array rand() nos componentes Zend Captcha Word e ZendCaptchaWord.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.