Zend Framework远程执行代码漏洞

Zend Framework远程执行代码漏洞

框架描述:

Zend Framework (ZF)是Zend公司推出的一套PHP开发框架。是用 PHP 5 来开发 web程序和服务的开源框架。ZF 用 100% 面向对象编码实现。 ZF 的组件结构独一无二,每个组件几乎不依靠其他组件。这样的松耦合结构可以让开发者独立使用组件。 我们常称此为 “use-at-will”设计。

漏洞描述:

Zend Framework远程执行代码漏洞源于Stream类的析构函数,这是一个PHP魔术方法。在面向对象编程中,构造函数和析构函数是在创建和销毁新类对象时分别调用的方法。一个新创建的Stream对象将通过构造函数在其概念处运行一系列命令,一旦对象在整个程序执行工作流程中达到其目的,PHP解释程序将最终调用该对象的析构函数,并遵循另一组命令来释放内存,执行清理任务并删除任何临时文件,这是一种好方法。Stream的析构函数调用的用于删除文件的unlink()方法需要一个文件名作为参数,文件名是字符串数据类型。

Zend Framework远程执行代码漏洞

 漏洞复现:

poc的链接

Zend Framework远程执行代码漏洞 

 

上一篇:asp.net core2 mvc 基础教程--继续讲 Tag Helpers 和复习 View Component


下一篇:swift 生成 framework