PT-2024-40349 · Zend · Zend-Feed+2
Publicado
2024-06-07
·
Atualizado
2024-06-07
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
zend-diactoros (versões afetadas não especificadas)
zend-http (versões afetadas não especificadas)
zend-feed (versões afetadas não especificadas)
Descrição
O problema diz respeito a uma possível exploração de reescrita de URL nos componentes de software mencionados. Envolve uma lógica que analisa cabeçalhos de solicitações HTTP específicos de um determinado mecanismo de reescrita de URL do lado do servidor. Quando esses cabeçalhos estão presentes em sistemas que não executam o mecanismo específico de reescrita de URL, a lógica é acionada, permitindo que um cliente ou proxy malicioso emule os cabeçalhos e solicite conteúdo arbitrário.
Recomendações
Para o zend-diactoros, considere restringir o acesso ao mecanismo de reescrita de URL até que um patch esteja disponível.
Para o zend-http, evite usar o mecanismo de reescrita de URL em projetos MVC do Zend Framework até que o problema seja resolvido.
Para o zend-feed, especificamente seu subcomponente PubSubHubbub, restrinja o acesso ao subcomponente para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zend-Diactoros
Zend-Feed
Zend-Http