「Zend Framework 1」にSQLiの脆弱性 - 修正パッチが公開
ウェブアプリケーションフレームワークの「Zend Framework 1」に、「SQLインジェクション」の脆弱性が含まれていることがわかった。
同フレームワークの「Zend_Db_Select」オブジェクトにおいて、「ORDER BY」「GROUP BY」の引数を含むSQL文の処理に「SQLインジェクション」が可能となる脆弱性「CVE-2016-4861」が存在することが判明したもの。ただし、「同2」「同3」は影響を受けないとしている。
同脆弱性は、HASHコンサルティングの徳丸浩氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。
開発チームでは、脆弱性へ対応したパッチ「同1.12.20」を公開。今回の修正は、2015年に実施した「CVE-2014-4914」への対策をさらに改善したものだという。
(Security NEXT - 2016/09/15 )
ツイート
PR
関連記事
1Qの脆弱性届出は99件 - ウェブサイト関連が低水準
1Qは「JVN iPedia」に8844件登録 - 「NVD」公開増加が影響
Oracle、四半期パッチで脆弱性のべ378件に対応 - CVSS値9以上が40件
「Joomla」にアップデート - 多要素認証回避やSQLi脆弱性を解消
「Ivanti EPM」に複数の脆弱性 - 修正版をリリース
DB管理ツール「pgAdmin」に深刻な脆弱性 - アップデートで修正
図書館管理システム「Koha」に複数脆弱性 - アップデートで修正
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起
患者向け医薬品情報サイト、年末年始直前にSQLi攻撃で改ざん被害
先週注目された記事(2025年2月23日〜2025年3月1日)
