Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut injecter des sauts de ligne dans les modules
Zend\Mail et Zend\Http de Zend Framework, afin de modifier le
contenu des messages/requêtes générés.

Produits concernés : Debian, Fedora, Zend Framework

Gravité : 2/4

Date création : 11/05/2015

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Zend Framework propose les modules Zend\Mail et
Zend\Http afin de générer des e-mails ou des requêtes web.

Par exemple, la méthode Zend\Mail\Message::setSubject() définit
le sujet d’un e-mail. Cependant, un utilisateur pouvant modifier
le sujet peut insérer des retours chariot et ainsi injecter de
nouveaux entêtes pour modifier le contenu du mail.

La classe Zend\Http contient une vulnérabilité similaire.

Un attaquant peut donc injecter des sauts de ligne dans les
modules Zend\Mail et Zend\Http de Zend Framework, afin de modifier
le contenu des messages/requêtes générés.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Zend-Framework-injection-d-entete-via-CRLF-16858