Zend Framework 3.0含有遠端程式執行漏洞

CVE-2021-3007漏洞影響Zend Framework 3.0以及部分Laminas實例

安全研究人員Ling-Yizhou本週揭露了一個存在於Zend Framework 3.0的安全漏洞,該編號為CVE-2021-3007的漏洞屬於反序列化漏洞,可造成權限擴張並允許駭客自遠端執行程式,而讓採用該框架的PHP應用程式受駭。

Zend Framework為一開源的物件導向Web應用程式框架,被用來打造各種基於PHP的電子商務平臺、內容管理平臺、健康照護系統、娛樂平臺與傳訊服務等,在2016年釋出支援PHP 7的Zend Framework 3.0,於2019年移至Linux基金會代管的Laminas專案。

此一編號為CVE-2021-3007的漏洞涉及Stream.php檔案中的_destruct函數,成功的開採要求簡單的認證,它除了波及Zend Framework 3.0之外,也有部分Laminas實例受到影響。

向上滑動