Versões do Zend View até a 1.7.4, inclusive

A vulnerabilidade diz respeito a um problema de inclusão de arquivo local. Se uma entrada não confiável for usada para especificar o caminho do script e/ou o script de visualização, um invasor mal-intencionado poderia especificar um diretório do sistema e, assim, renderizar um arquivo do sistema. Por exemplo, se uma string fornecida pelo usuário, como /etc/passwd, ou um caminho relativo que aponte para esse arquivo for fornecido à função Zend View::render(), esse arquivo será renderizado. A função Zend View::setScriptPath() está envolvida neste problema.

Para versões até e incluindo a 1.7.4, certifique-se de que apenas entradas confiáveis sejam usadas para especificar caminhos de script e scripts de visualização, a fim de evitar exploração. Como solução temporária, considere validar e sanitizar todas as entradas fornecidas pelo usuário antes de passá-las para Zend View::render() ou Zend View::setScriptPath() para minimizar o risco de exploração.