Nome do software vulnerável e versões afetadas:

Versões do Zend Framework anteriores à 1.11.4

Descrição:

O script de visualização de tratamento de erros padrão gerado usando Zend Tool no ambiente de configuração “development” falhou em escapar os parâmetros da solicitação, proporcionando um vetor potencial de ataque XSS. Esse problema foi resolvido com a aplicação de um patch em Zend Tool Project Context Zf ViewScriptFile para chamar o método escape() nas variáveis de solicitação despejadas, garantindo que as variáveis de solicitação sejam escapadas adequadamente para o navegador.

Recomendações:

Para versões anteriores à 1.11.4, atualize para a versão 1.11.4 para incluir o patch que adiciona o escape ao script de visualização error/error.phtml gerado.

Para scripts de visualização de erros gerados anteriormente, aplique manualmente as alterações necessárias para escapar as variáveis de solicitação, como chamar o método escape() nas variáveis de solicitação despejadas.