Versões do Zend Framework anteriores à 1.7.6

O problema diz respeito à classe Zend Filter StripTags, utilizada para filtrar tags HTML. Descobriu-se que atributos com espaços em branco ou quebras de linha ao redor do operador de atribuição não eram removidos, mesmo que não estivessem na lista de permissões. Isso poderia levar a potenciais vetores de ataque de cross-site scripting (XSS). Por exemplo, o atributo onclick permaneceria na entrada <a href="http://framework.zend.com/issues" onclick = “alert(‘Broken’); return false;”>Issues</a>, mesmo que não estivesse especificado na lista de permissões da tag.

Se você estiver usando Zend Filter StripTags com lista de permissões de atributos, atualize para o Zend Framework 1.7.6 ou superior.

Considere remover todas as tags e nunca usar lista de permissões se estiver contando com o Zend Filter StripTags para prevenir XSS.

Se usar lista de permissões, encontre um filtro XSS confiável, como o HTML Purifier, para processar sua saída.