Zend Framework... CVE-2014-2684 CNNVD-201411-264

6.4 AV AC AU C I A
发布: 2014-11-16
修订: 2017-11-04

Zend Framework 1(ZF1)是美国Zend公司开发的一套开源的PHP5开发框架,它主要用于开发Web程序和服务。ZendOpenId是其中的一个提供了简单API用于构建启用OpenId的站点和身份标识的组件;Zend_OpenId_Consumer是其中的一个被用来在网站上实现OpenId认证计划的类。 ZF1 1.12.4之前版本的ZendOpenId 2.0.2之前版本和Zend_OpenId_Consumer类中的Consumer组件的GenericConsumer类中存在安全漏洞,该漏洞源于程序没有验证‘openid_op_endpoint’值标识的Identity Provider是否相同。远程攻击者可借助畸形的OpenID Provider利用该漏洞绕过身份验证,冒充任意OpenID身份。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有2条受影响产品信息