Zend Framework XSS Sicherheitslücke

Wie mittlerweile in mehreren Quellen erwähnt, haben bisherige Zend Framework Versionen (kleiner 1.7.7) eine Sicherheitslücke in der Klasse Zend_Filter_StripTags. Hier können bei Nutzung einer Whitelist trotz Filterung unerlaubte Tags eingeschleust werden. Besonders kritisch ist das bei Anwendungen wie diesen Blog. Es wird empfohlen auf die aktuellste Version zu patchen, oder zumindest die StripTags Datei mit einer gepatchten Version zu ersetzen.

Weitere Infos gibt es im Zend Framework Forum.

Ähnliche Beiträge

  1. Logging mit dem Zend Framework und Firebug in Firefox
  2. Zend Framework 1.7 verfügbar
  3. Zend Framework – ein Überblick
  4. Tutorial – Formularverarbeitung mit dem Zend Framework
  5. Performanceoptimierung für PHP (ZF) Applikationen

2 Kommentare zu “Zend Framework XSS Sicherheitslücke”

  1. anonymous
    12. April 2009 um 14:07 Uhr

    “Anwendungen wie diesem Blog.”

     
  2. Tobi
    12. April 2009 um 15:32 Uhr

    Na ein Versuch wars wert. Wäre aber echt lustig gewesen wenns hier geklappt hätte ;)

     

Hinterlasse eine Antwort