Nome do software vulnerável e versões afetadas:

zend-diactoros (versões afetadas não especificadas)

zend-http (versões afetadas não especificadas)

zend-feed (versões afetadas não especificadas)

Descrição:

A vulnerabilidade diz respeito a uma possível exploração de reescrita de URL nos componentes de software mencionados. Ela envolve uma lógica que analisa cabeçalhos de solicitações HTTP específicos de um determinado mecanismo de reescrita de URL do lado do servidor. Quando esses cabeçalhos estão presentes em sistemas que não executam o mecanismo específico de reescrita de URL, a lógica é acionada, permitindo que um cliente ou proxy malicioso emule os cabeçalhos e solicite conteúdo arbitrário.

Recomendações:

Para o zend-diactoros, considere restringir o acesso a conteúdo sensível até que uma correção esteja disponível.

Para o zend-http, evite usar o mecanismo de reescrita de URL em ambientes não seguros para minimizar o risco de exploração.

Para o zend-feed, especificamente seu subcomponente PubSubHubbub, restrinja o acesso ao subcomponente até que um patch esteja disponível.

Como solução alternativa temporária, considere desativar a lógica de reescrita de URL em cada componente até que uma correção seja fornecida.