漏洞信息详情
CakePHP 权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201207-237
- 危害等级: 中危
- CVE编号: CVE-2012-4399
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2012-07-18
- 威胁类型: 远程
- 更新时间: 2012-07-18
- 厂 商: cakefoundation
- 漏洞来源: Pawel h0wl Wylecial
漏洞简介
CakePHP是美国Cake软件基金会的一个基于MVC架构的、开源的Web开发框架。该框架具有灵活的视图缓存、自动生成CRUD代码等功能。
CakePHP 2.1.5之前的2.1.x版本和2.2.1之前的2.2.x版本中的XML类中存在漏洞。攻击者可利用该漏洞从运行受影响应用程序的计算机上的本地文件中获取敏感信息,进而执行其他攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://cakephp.org/
参考网址
来源: OSVDB
名称: 84042
链接:http://www.osvdb.org/84042
来源: MLIST
名称: [oss-security] 20120903 Re: CVE-request: CakePHP XXE injection
链接:http://www.openwall.com/lists/oss-security/2012/09/03/2
来源: MLIST
名称: [oss-security] 20120903 CVE-request: CakePHP XXE injection
链接:http://www.openwall.com/lists/oss-security/2012/09/03/1
来源: EXPLOIT-DB
名称: 19863
链接:http://www.exploit-db.com/exploits/19863
来源: SECUNIA
名称: 49900
链接:http://secunia.com/advisories/49900
来源: BUGTRAQ
名称: 20120716 CakePHP 2.x-2.2.0-RC2 XXE Injection
链接:http://seclists.org/bugtraq/2012/Jul/101
来源: bakery.cakephp.org
链接:http://bakery.cakephp.org/articles/markstory/2012/07/14/security_release_-_cakephp_2_1_5_2_2_1
来源:NSFOCUS 名称:21087 链接:http://www.nsfocus.net/vulndb/21087
受影响实体
- Cakefoundation Cakephp:2.1.3
- Cakefoundation Cakephp:2.1.2
- Cakefoundation Cakephp:2.1.1
- Cakefoundation Cakephp:2.1.0
- Cakefoundation Cakephp:2.1.0:Beta
补丁
- cakephp-2.2.0
- cakephp-2.1.5
评论