Nome do software vulnerável e versões afetadas:

zend-diactoros (versões afetadas não especificadas)

zend-http (versões afetadas não especificadas)

zend-feed (versões afetadas não especificadas)

Descrição:

A vulnerabilidade diz respeito a uma possível exploração de reescrita de URL nos componentes de software mencionados. Ela permite que um cliente ou proxy malicioso solicite conteúdo arbitrário ao emular cabeçalhos de solicitação HTTP específicos relacionados a mecanismos de reescrita de URL do lado do servidor, mesmo quando esses mecanismos não estiverem em uso.

Recomendações:

Para o zend-diactoros, considere restringir o acesso a conteúdo sensível até que uma correção esteja disponível.

Para o zend-http, evite usar a lógica que analisa cabeçalhos de solicitação HTTP para reescrita de URL até que o problema seja resolvido.

Para o zend-feed, especificamente seu subcomponente PubSubHubbub, restrinja o marshaling de URIs de solicitação que incluam lógica para mecanismos de reescrita de URL.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.