Vigil@nce - Zend Framework : trois vulnérabilités
mars 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer trois vulnérabilités de Zend Framework,
afin de lire ou d’altérer des données.
– Produits concernés : Zend Framework
– Gravité : 2/4
– Date création : 14/03/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités ont été annoncées dans Zend Framework.
Un attaquant peut employer Zend\Mvc\Router\Http\Query, afin
d’injecter des paramètres de route. [grav:2/4 ; ZF2013-01]
Les données générées par Zend\Math\Rand et Zend\Validate\Csrf ne
sont pas suffisamment aléatoires. [grav:1/4 ; ZF2013-02]
Un attaquant peut provoquer une injection SQL dans Zend\Db.
[grav:2/4 ; ZF2013-03]
Un attaquant peut donc employer trois vulnérabilités de Zend
Framework, afin de lire ou d’altérer des données.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Zend-Framework-trois-vulnerabilites-12527