首页 > 传媒 > 关键词  > 360最新资讯  > 正文

Zend框架曝任意文件读取漏洞 威胁网站源代码

2012-07-23 16:00 · 稿源: 站长之家用户

近日,乌云平台曝Zend Framework(ZF)框架中的XMLRPC模块存在xxe(XML external entity)注入漏洞(https://www.wooyun.org/bugs/wooyun-2010-09336),攻击者可借此读取服务器上的任意文件,包括密码文件及PHP源代码。360网站检测平台扫描发现,200余家网站存在这一漏洞,知名开源建站平台Magento等使用ZF框架的建站系统也受该漏洞影响,波及更多网站。

360网站安全检测平台服务网址:https://webscan.360.cn/

据了解,ZF框架与PHP一脉相承,应用遍及金融、航空、电商、媒体等多个领域。其中XMLRPC是提供RPC(远程过程调用)和服务的一个模块,采用XML语言在服务端跟客户端之间进行数据交互。在XMLPRC功能开启的情况下,管理者可以读取服务器上的任意文件。但由于xxe(XML external entity)注入漏洞,黑客同样读取服务器上的任意文件。

360网站安全检测平台认为,上述漏洞原因在于Zend框架的loadXml函数(Zend XMLRPC Request.php和Response.php)在解析XML数据的时候未禁用加载外部entities。在初始化SimpleXMLElement类之前未调用libxml_disable_entity_loader函数(如图)。

图:未调用libxml_disable_entity_loader函数成漏洞关键

这一情况导致当WEB应用程序使用Zend_XmlRpc_Server类(ZendXmlRpcServer.php)处理XMLRPC请求时,可能泄露远程服务器的任意文件。黑客利用该漏洞,可以读取使用Zend框架系统的任意文件,包括数据库账号密码,进而对整个网站内容进行修改,甚至直接盗取PHP源代码。

鉴于该漏洞影响广泛,且有可能造成网站源代码泄露等致命危害,360网站安全检测平台在第一时间向旗下用户发送了告警邮件,强烈建议升级Zend框架至最新版本(如Magento系统),并定期使用360安全检测服务随时监控网站安全状态。

Zend框架最新版本升级地址:https://framework.zend.com/download/latest

Magento官方升级包补丁下载地址:https://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability

关于360网站安全检测平台

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞。2011年,360网站安全检测平台曾协同360团购导航,为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议,提高了团购网站整体安全水平。

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 哪个网站的AI产品库最全?最全AI工具网站平台推荐

    本文介绍了AI工具爆发式增长背景下,全面及时的AI产品库的重要性。重点推荐AIbase平台,该平台收录7000+AI产品,覆盖30+功能分类,支持多维度筛选,数据实时更新。AIbase优势包括:1)全品类覆盖;2)开发者友好,提供API接口;3)个性化体验,支持收藏和导出工具清单。适合内容创作者、开发者、学生等各类用户使用。通过AIbase可快速找到适合的AI工具,提升工作效率。访问�

  • 国内MCP资源平台有哪些?MCP工具网站推荐

    在人工智能技术飞速发展的今天,Model Context Protocol(MCP,模型上下文协议)作为一种创新的开放标准协议,正在为AI模型与外部工具和服务的交互带来前所未有的便利。今天,我们有幸深入报道一个专注于MCP服务器和相关服务的集合平台——AIbase(https://mcp.aibase.cn/)。这个平台不仅为全球的AI开发者提供了一个强大的资源库,还通过一站式整合、安全实践和开发效率工具,极大地

  • 国内有哪些AI资讯网站?可灵AI上线可图2.1等热点新闻哪里看最及时?

    本文介绍了国内主要AI资讯平台,帮助用户获取及时全面的AI信息。重点推荐了机器之心、AI科技评论、新智元等综合性平台,以及CSDN、InfoQ等技术导向网站,特别强调AIbase.cn的时效性优势,该平台能第一时间发布如可灵AI可图2.1模型免费开放等重要动态。文章指出,选择资讯平台需结合时效性与内容深度,建议用户根据自身需求建立信息筛选体系,通过订阅日报、设置关键词提醒等方式构建个人AI资讯生态系统,其中AIbase.cn因其更新快、覆盖全的特点值得重点关注。

  • 国内详细MCP教程网站有哪些?MCP服务资源平台去哪找?

    在当今快速发展的AI技术浪潮中,Model Context Protocol(MCP,模型上下文协议)作为一种新兴的开放标准协议,正逐渐成为AI领域的重要组成部分。 今天,我们有幸介绍一个专注于MCP服务器和相关服务的集合平台——AIbase。 AIbase平台为全球的AI开发者和爱好者提供了一个全面的MCP服务器资源库。据最新统计,该平台已经收录了超过 121231个 MCP服务器,涵盖了从热门推荐到最近更新�

  • 570亿元!全球最大成人网站要被贱卖了

    全球最大的成人网站OnlyFans要被出售了(迄今为止OnlyFans已经积累了3亿用户),价格是570亿元。 据国外媒体报道称,一位叫做里奥拉德文斯基(Leo Radvinsky)的亿万富翁,正在联系潜在的银行和投资方,打算把自己名下的一家视频网站给卖掉,而它就是OnlyFans。 对于这次的出售,国外投研机构认为,OnlyFans这是被贱卖,而这背后的原因,当然是合规问题。

  • AI新闻网站哪里看?2025年最全AI资讯获取指南

    文章介绍了AI信息过载时代,AIbase.cn作为专业AI资讯平台的优势:1)专业性强,提供技术解读和行业分析;2)时效性高,快速响应重大新闻;3)覆盖全面,包含技术突破、商业应用、投融资等全领域。平台通过精选日报、热点追踪等功能,帮助从业者高效获取有价值信息,适合技术人员、产品经理、投资人等不同群体,是了解AI行业动态的首选渠道。

  • MCP协议资源服务去哪找?国内MCP server资源网站推荐

    ​在人工智能技术飞速发展的今天,AI模型与外部工具和服务的交互需求日益增长。为了满足这一需求,一个名为 AIbase 的全球MCP服务器集合平台(https://mcp.aibase.cn/)应运而生,为开发者和企业提供了前所未有的便利和强大的功能支持。

  • 国内有哪些AI资讯网站?最全面的AI新闻资讯平台盘点

    本文介绍了国内主要AI资讯平台,帮助读者获取最新行业动态。综合类平台包括机器之心(专注前沿技术报道)、AI科技评论(雷锋网旗下专业视角平台)和新智元("智能+"为核心的全方位报道);专业技术导向平台有CSDN AI频道(含丰富实践内容)和InfoQ AI栏目(侧重开发实践);新兴聚合平台AIbase整合国内外最新资讯,量子位则专注AI与量子计算等前沿领域。建议根据�

  • MCP server资源网站去哪找?国内MCP服务合集平台有哪些?

    在人工智能飞速发展的今天,AI模型与外部世界的交互变得愈发重要。一个好的工具不仅能提升开发效率,还能激发更多的创意。今天,我要给大家介绍一个宝藏平台——AIbase(<https://mcp.aibase.cn/>),一个专注于MCP(Model Context Protocol)服务的全球集合平台,它正在悄然改变AI应用开发的格局。 平台精心挑选了全球最受欢迎的MCP服务进行推荐。这些服务经过了市场的检验,具�

  • 2025年最值得关注的AI新闻网站推荐:获取前沿AI资讯的最佳平台

    本文介绍了在AI快速发展时代获取专业资讯的重要性,推荐了国内领先的AI资讯平台AIbase.cn。该平台覆盖机器学习、自然语言处理等全领域,提供行业分析报告和趋势预测,其特色栏目"AI日报"每日精选有价值内容,用通俗语言解释复杂概念。文章建议读者建立定期阅读习惯,深入理解内容而非仅看标题,并交叉验证信息来源。同时推荐关注国际知名AI媒体和学术资源,强调选择AI新闻网站时应考量内容质量、更新频率和用户体验。优质AI资讯不仅能了解行业动态,更能启发创新思维。