Vigil@nce - Zend Framework : contournement de Session Validator
janvier 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut contourner la fonctionnalité Session Validator
de Zend Framework, afin d’accéder à un service protégé.
Produits concernés : Zend Framework
Gravité : 2/4
Date création : 15/01/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Zend Framework supporte des Session Validator qui
permettent par exemple de vérifier l’adresse distante
(RemoteAddr) ou le type de client (HttpUserAgent).
Cependant, ils ne sont pas correctement implémentés, et sont
inefficaces.
Un attaquant peut donc contourner la fonctionnalité Session
Validator de Zend Framework, afin d’accéder à un service
protégé.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Zend-Framework-contournement-de-Session-Validator-15976