Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Zend Framework 2」に「PHPMailer」と同様の脆弱性 - 最新版で修正

「Zend Framework」のメール用コンポーネントに、リモートよりコードの実行が可能となる脆弱性が含まれていることがわかった。最新版で修正されている。

同フレームワークに含まれる「zend-mail」にコードの実行が可能となる脆弱性「CVE-2016-10034」が含まれていることが判明したもの。同脆弱性は、「PHPMailer」や「SwiftMailer」で明らかとなった脆弱性と同様の性質のもので、両脆弱性と同じくポーランドのセキュリティ専門家であるDawid Golunski氏が発見、報告した。

ウェブフォームなどから入力された情報をもとに「zend-mail」の「Sendmail adapter」を利用してメールを送信する際、コードを実行されるおそれがある。

Dawid Golunski氏は今回の脆弱性について、アドバイザリで限定的な実証コード(PoC)を示しているが、エクスプロイトコードなど詳細については今後公開するとしている。

また同脆弱性は、Dawid Golunski氏によるアドバイザリの公表に先駆けて12月20日にリリースされた「Zend Framework 2.4.11」および「zend-mail 2.4.11」「zend-mail 2.7.2」にて修正されているという。

(Security NEXT - 2017/01/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

CMSの「Joomla」に複数脆弱性、アップデートがリリース
データベース不要のオープンソースCMSに複数のXSS脆弱性
「WordPress 5.1.1」がリリース - XSSの脆弱性など修正
サイトの脆弱性を診断する月額制クラウドサービス - セキュアブレイン
「Adobe Digital Editions」に深刻な脆弱性 - コード実行のおそれ
「Chrome 73」がリリース - セキュリティ関連の修正は60件
「Adobe Flash Player」にアップデート - セキュリティ修正は含まず
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Adobe Photoshop CC」に深刻な脆弱性 - アップデートがリリース
iOS向け保険管理アプリに脆弱性 - 「Cordova」向け旧プラグインに起因