Zend Framework远程执行代码漏洞
框架描述:
Zend Framework (ZF)是Zend公司推出的一套PHP开发框架。是用 PHP 5 来开发 web程序和服务的开源框架。ZF 用 100% 面向对象编码实现。 ZF 的组件结构独一无二,每个组件几乎不依靠其他组件。这样的松耦合结构可以让开发者独立使用组件。 我们常称此为 “use-at-will”设计。
漏洞描述:
Zend Framework远程执行代码漏洞源于Stream类的析构函数,这是一个PHP魔术方法。在面向对象编程中,构造函数和析构函数是在创建和销毁新类对象时分别调用的方法。一个新创建的Stream对象将通过构造函数在其概念处运行一系列命令,一旦对象在整个程序执行工作流程中达到其目的,PHP解释程序将最终调用该对象的析构函数,并遵循另一组命令来释放内存,执行清理任务并删除任何临时文件,这是一种好方法。Stream的析构函数调用的用于删除文件的unlink()方法需要一个文件名作为参数,文件名是字符串数据类型。
漏洞复现:
poc的链接
