CVE-2012-6531

EPSS 0.91%
Veröffentlicht 13.02.2013 17:55:01
Zuletzt bearbeitet 11.04.2025 00:51:21
Quelle cve@mitre.org
Teams Watchlist Login
Unerledigt Login

(1) Zend_Dom, (2) Zend_Feed, and (3) Zend_Soap in Zend Framework 1.x before 1.11.13 and 1.12.x before 1.12.0 do not properly handle SimpleXMLElement classes, which allow remote attackers to read arbitrary files or create TCP connections via an external entity reference in a DOCTYPE element in an XML-RPC request, aka an XML external entity (XXE) injection attack, a different vulnerability than CVE-2012-3363.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 9

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Zend ≫ Zend Framework Version1.0.4

Zend ≫ Zend Framework Version1.5.0

Zend ≫ Zend Framework Version1.5.1

Zend ≫ Zend Framework Version1.5.2

Zend ≫ Zend Framework Version1.5.3

Zend ≫ Zend Framework Version1.6.0

Zend ≫ Zend Framework Version1.6.1

Zend ≫ Zend Framework Version1.6.2

Zend ≫ Zend Framework Version1.7.0

Zend ≫ Zend Framework Version1.7.1

Zend ≫ Zend Framework Version1.7.2

Zend ≫ Zend Framework Version1.7.3

Zend ≫ Zend Framework Version1.7.4

Zend ≫ Zend Framework Version1.7.5

Zend ≫ Zend Framework Version1.7.6

Zend ≫ Zend Framework Version1.7.7

Zend ≫ Zend Framework Version1.7.8

Zend ≫ Zend Framework Version1.7.9

Zend ≫ Zend Framework Version1.8.0

Zend ≫ Zend Framework Version1.8.1

Zend ≫ Zend Framework Version1.8.2

Zend ≫ Zend Framework Version1.8.3

Zend ≫ Zend Framework Version1.8.4

Zend ≫ Zend Framework Version1.8.5

Zend ≫ Zend Framework Version1.9.0

Zend ≫ Zend Framework Version1.9.1

Zend ≫ Zend Framework Version1.9.2

Zend ≫ Zend Framework Version1.9.3

Zend ≫ Zend Framework Version1.9.4

Zend ≫ Zend Framework Version1.9.5

Zend ≫ Zend Framework Version1.9.6

Zend ≫ Zend Framework Version1.9.7

Zend ≫ Zend Framework Version1.9.8

Zend ≫ Zend Framework Version1.10.0

Zend ≫ Zend Framework Version1.10.1

Zend ≫ Zend Framework Version1.10.2

Zend ≫ Zend Framework Version1.10.3

Zend ≫ Zend Framework Version1.10.4

Zend ≫ Zend Framework Version1.10.5

Zend ≫ Zend Framework Version1.10.6

Zend ≫ Zend Framework Version1.10.7

Zend ≫ Zend Framework Version1.10.8

Zend ≫ Zend Framework Version1.11.0

Zend ≫ Zend Framework Version1.11.1

Zend ≫ Zend Framework Version1.11.2

Zend ≫ Zend Framework Version1.11.3

Zend ≫ Zend Framework Version1.11.4

Zend ≫ Zend Framework Version1.11.5

Zend ≫ Zend Framework Version1.11.6

Zend ≫ Zend Framework Version1.11.7

Zend ≫ Zend Framework Version1.11.8

Zend ≫ Zend Framework Version1.11.9

Zend ≫ Zend Framework Version1.11.10

Zend ≫ Zend Framework Version1.11.11

Zend ≫ Zend Framework Version1.11.12

Zend ≫ Zend Framework Version1.12.0 Updaterc1

Zend ≫ Zend Framework Version1.12.0 Updaterc2

Zend ≫ Zend Framework Version1.12.0 Updaterc3

Zend ≫ Zend Framework Version1.12.0 Updaterc4

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.91%	0.736

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	6.4	10	4.9	AV:N/AC:L/Au:N/C:P/I:P/A:N

CWE-20 Improper Input Validation

The product receives input or data, but it does not validate or incorrectly validates that the input has the properties that are required to process the data safely and correctly.

http://framework.zend.com/security/advisory/ZF2012-01

Vendor Advisory

http://www.debian.org/security/2012/dsa-2505

http://www.openwall.com/lists/oss-security/2012/06/26/2

http://www.openwall.com/lists/oss-security/2012/06/26/4

http://www.openwall.com/lists/oss-security/2012/06/27/2

https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

https://nvd.nist.gov/vuln/detail/CVE-2012-6531

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2012-6531

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2012-6531

EUVD