CVE-2012-3363 – Zend Framework < 2.0.0 beta4 < 1.12 RC1 < 1.11.11 - Local File Disclosure

https://notcve.org/view.php?id=CVE-2012-3363

Zend_XmlRpc in Zend Framework 1.x before 1.11.12 and 1.12.x before 1.12.0 does not properly handle SimpleXMLElement classes, which allows remote attackers to read arbitrary files or create TCP connections via an external entity reference in a DOCTYPE element in an XML-RPC request, aka an XML external entity (XXE) injection attack. Zend_XmlRpc 1.x de Zend Framework antes de v1.11.12 y antes v1.12.0 1.12.x,94 no controla correctamente las clases SimpleXMLElement, lo que permite a atacantes remotos leer archivos arbitrarios o crear conexiones TCP a través de una referencia de entidad externa en un elemento DOCTYPE en un XML -RPC petición, también conocido como un XML entidad externa (XXE) ataque de inyección. • https://www.exploit-db.com/exploits/19408 http://framework.zend.com/security/advisory/ZF2012-01 http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34284 http://lists.fedoraproject.org/pipermail/package-announce/2013-April/101310.html http://lists.fedoraproject.org/pipermail/package-announce/2013-April/101358.html http://openwall.com/lists/oss-security/2013/03/25/2 http://www.debian.org/security/2012/dsa-2505 http://www.openwall.com/lists/oss-security/2012 • CWE-611: Improper Restriction of XML External Entity Reference •