安全研究人员Ling-Yizhou本周披露了一个存在于Zend Framework 3.0的安全漏洞,该编号为CVE-2021-3007的漏洞属于反串行化漏洞,可造成权限扩张并允许黑客自远程执行程序,而让采用该框架的PHP应用程序受黑。
Zend Framework为一开源的面向对象Web应用程序框架,被用来打造各种基于PHP的电子商务平台、内容管理平台、健康看护系统、娱乐平台与通讯服务等,在2016年发布支持PHP 7的Zend Framework 3.0,于2019年移至Linux基金会托管的Laminas项目。
该编号为CVE-2021-3007的漏洞涉及Stream.php文件中的_destruct函数,成功的开采要求简单的认证,它除了波及Zend Framework 3.0之外,也有部分Laminas实例受到影响。