製品・ソフトウェアに関する情報

JVN脆弱性詳細

Zend Framework の Zend_Feed における任意のファイルを読まれる脆弱性

Title	Zend Framework の Zend_Feed における任意のファイルを読まれる脆弱性
Summary	Zend Framework の Zend_Feed 内の (1) Zend_Feed_Rss および (2) Zend_Feed_Atom クラスには、任意のファイルを読まれる、任意の HTTP リクエストをイントラネットサーバに送信される、およびサービス運用妨害 (CPU およびメモリ破損) 状態となる脆弱性が存在します。
Possible impacts	第三者により、XML External Entity (XXE) 攻撃を介して、任意のファイルを読まれる、任意の HTTP リクエストをサーバに送信される、およびサービス運用妨害 (CPU およびメモリ破損) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	May 2, 2013, midnight
Registration Date	May 8, 2013, 12:12 p.m.
Last Update	May 8, 2013, 12:12 p.m.

Affected System

Zend Technologies Ltd.

zend framework preview 1.11.15 未満の 1.11.x

zend framework preview 1.12.1 未満の 1.12.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-5657	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5657
National Vulnerability Database (NVD)
2	CVE-2012-5657	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5657

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
Debian Security Advisory
1	DSA-2602	http://www.debian.org/security/2012/dsa-2602
Security Advisory
2	ZF2012-05: Potential XML eXternal Entity injection vectors in Zend Framework 1 Zend_Feed component	http://framework.zend.com/security/advisory/ZF2012-05

Change Log

No	Changed Details	Date of change
0	[2013年05月08日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-5657

Summary	The (1) Zend_Feed_Rss and (2) Zend_Feed_Atom classes in Zend_Feed in Zend Framework 1.11.x before 1.11.15 and 1.12.x before 1.12.1 allow remote attackers to read arbitrary files, send HTTP requests to intranet servers, and possibly cause a denial of service (CPU and memory consumption) via an XML External Entity (XXE) attack.
Publication Date	May 2, 2013, 11:55 p.m.
Registration Date	Jan. 28, 2021, 3:06 p.m.
Last Update	Nov. 21, 2024, 10:45 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://framework.zend.com/security/advisory/ZF2012-05	Vendor Advisory
2	http://framework.zend.com/security/advisory/ZF2012-05	Vendor Advisory
3	http://openwall.com/lists/oss-security/2012/12/20/2
4	http://openwall.com/lists/oss-security/2012/12/20/2
5	http://openwall.com/lists/oss-security/2012/12/20/4
6	http://openwall.com/lists/oss-security/2012/12/20/4
7	http://secunia.com/advisories/51583	Vendor Advisory
8	http://secunia.com/advisories/51583	Vendor Advisory
9	http://www.debian.org/security/2012/dsa-2602
10	http://www.debian.org/security/2012/dsa-2602
11	http://www.mandriva.com/security/advisories?name=MDVSA-2013:115
12	http://www.mandriva.com/security/advisories?name=MDVSA-2013:115

Common Vulnerabilities List