CakePHP 权限许可和访问控制漏洞

漏洞信息详情

CakePHP 权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201207-237
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-4399
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-07-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-07-18
  
• 厂        商：
  
  cakefoundation
• 漏洞来源：
  Pawel h0wl Wylecial

CakePHP是美国Cake软件基金会的一个基于MVC架构的、开源的Web开发框架。该框架具有灵活的视图缓存、自动生成CRUD代码等功能。

CakePHP 2.1.5之前的2.1.x版本和2.2.1之前的2.2.x版本中的XML类中存在漏洞。攻击者可利用该漏洞从运行受影响应用程序的计算机上的本地文件中获取敏感信息，进而执行其他攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://cakephp.org/

来源: OSVDB

名称: 84042

链接:http://www.osvdb.org/84042

来源: MLIST

名称: [oss-security] 20120903 Re: CVE-request: CakePHP XXE injection

链接:http://www.openwall.com/lists/oss-security/2012/09/03/2

来源: MLIST

名称: [oss-security] 20120903 CVE-request: CakePHP XXE injection

链接:http://www.openwall.com/lists/oss-security/2012/09/03/1

来源: EXPLOIT-DB

名称: 19863

链接:http://www.exploit-db.com/exploits/19863

来源: SECUNIA

名称: 49900

链接:http://secunia.com/advisories/49900

来源: BUGTRAQ

名称: 20120716 CakePHP 2.x-2.2.0-RC2 XXE Injection

链接:http://seclists.org/bugtraq/2012/Jul/101

来源: bakery.cakephp.org

链接:http://bakery.cakephp.org/articles/markstory/2012/07/14/security_release_-_cakephp_2_1_5_2_2_1

来源：NSFOCUS
名称：21087
链接：http://www.nsfocus.net/vulndb/21087