CVE-2014-2681 in Framework
要約 (英語)
Zend Framework 1 (ZF1) before 1.12.4, Zend Framework 2 before 2.1.6 and 2.2.x before 2.2.6, ZendOpenId, ZendRest, ZendService_AudioScrobbler, ZendService_Nirvanix, ZendService_SlideShare, ZendService_Technorati, and ZendService_WindowsAzure before 2.0.2, ZendService_Amazon before 2.0.3, and ZendService_Api before 1.0.0 allow remote attackers to read arbitrary files, send HTTP requests to intranet servers, and possibly cause a denial of service (CPU and memory consumption) via an XML External Entity (XXE) attack. NOTE: this issue exists because of an incomplete fix for CVE-2012-5657.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
予約する
2014年03月30日
公開
2014年11月15日
ステータス
確認済み
エントリ
VulDB provides additional information and datapoints for this CVE:
| 識別子 | 脆弱性 | CWE | 悪用可 | 対策 | CVE |
|---|---|---|---|---|---|
| 68622 | Zend Framework XML サービス拒否 | 19 | 未実証 | 公式な修正 | CVE-2014-2681 |
| 12716 | Zend Framework ZendOpenId/Zend_OpenId | 19 | 未実証 | 公式な修正 | CVE-2014-2681 |
| 12715 | Zend Framework XML loadXML/xml_parse | 19 | 未実証 | 公式な修正 | CVE-2014-2681 |