漏洞信息详情
JanRain PHP OpenID Library XML外部实体注入漏洞
- CNNVD编号:CNNVD-201308-327
- 危害等级: 中危
- CVE编号: CVE-2013-4701
- 漏洞类型:
- 发布时间: 2013-08-23
- 威胁类型: 远程
- 更新时间: 2013-08-23
- 厂 商: janrain
- 漏洞来源:
漏洞简介
PHP OpenID Library是美国JanRain公司开发的一个支持OpenID的PHP库。OpenID是美国OpenID基金会的一套以用户为中心的数字身份识别系统。
PHP OpenID Library 2.2.2及之前的版本中的Auth/Yadis/XML.php文件中存在安全漏洞。远程攻击者可借助包含外部实体声明和实体引用结合的XRDS数据,利用该漏洞读取任意文件,发送HTTP请求到内网服务器,或造成拒绝服务(CPU和内存耗尽)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000080.HTML
参考网址
来源: github.com
链接:https://github.com/openid/php-openid/commit/625c16bb28bb120d262b3f19f89c2c06cb9b0da9
来源: JVNDB
名称: JVNDB-2013-000080
链接:http://jvndb.jvn.jp/jvndb/JVNDB-2013-000080
来源: JVN
名称: JVN#24713981
链接:http://jvn.jp/en/jp/JVN24713981/index.HTML
受影响实体
- Janrain Php-Openid:2.2.2
补丁
暂无
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论