CVE-2015-5161

EUVD-2022-5834
The Zend_Xml_Security::scan in ZendXml before 1.0.1 and Zend Framework before 1.12.14, 2.x before 2.4.6, and 2.5.x before 2.5.2, when running under PHP-FPM in a threaded environment, allows remote attackers to bypass security checks and conduct XML external entity (XXE) and XML entity expansion (XEE) attacks via multibyte encoded characters.
ProviderTypeBase ScoreAtk. VectorAtk. ComplexityPriv. RequiredVector
NISTPrimary
6.8 UNKNOWN
NETWORK
MEDIUM
AV:N/AC:M/Au:N/C:P/I:P/A:P
Base Score
CVSS 3.x
EPSS Score
Percentile: 96%
Affected Products (NVD)
VendorProductVersion
zendzend_framework
1.0.0
zendzend_framework
1.0.0:rc1
zendzend_framework
1.0.0:rc2
zendzend_framework
1.0.0:rc2a
zendzend_framework
1.0.0:rc3
zendzend_framework
1.0.1
zendzend_framework
1.0.2
zendzend_framework
1.0.3
zendzend_framework
1.0.4
zendzend_framework
1.5.0:rc1
zendzend_framework
1.5.0:rc2
zendzend_framework
1.5.0:rc3
zendzend_framework
1.5.1
zendzend_framework
1.5.2
zendzend_framework
1.5.3
zendzend_framework
1.6.0
zendzend_framework
1.6.0:rc1
zendzend_framework
1.6.0:rc2
zendzend_framework
1.6.0:rc3
zendzend_framework
1.6.1
zendzend_framework
1.6.2
zendzend_framework
1.7.0
zendzend_framework
1.7.0:pl1
zendzend_framework
1.7.0:pr
zendzend_framework
1.7.1
zendzend_framework
1.7.2
zendzend_framework
1.7.3
zendzend_framework
1.7.3:pl1
zendzend_framework
1.7.4
zendzend_framework
1.7.5
zendzend_framework
1.7.6
zendzend_framework
1.7.7
zendzend_framework
1.7.8
zendzend_framework
1.7.9
zendzend_framework
1.8.0
zendzend_framework
1.8.0:a1
zendzend_framework
1.8.0:b1
zendzend_framework
1.8.1
zendzend_framework
1.8.2
zendzend_framework
1.8.3
zendzend_framework
1.8.4
zendzend_framework
1.8.4:pl1
zendzend_framework
1.8.5
zendzend_framework
1.9.0
zendzend_framework
1.9.0:a1
zendzend_framework
1.9.0:b1
zendzend_framework
1.9.0:rc1
zendzend_framework
1.9.1
zendzend_framework
1.9.2
zendzend_framework
1.9.3
zendzend_framework
1.9.3:pl1
zendzend_framework
1.9.4
zendzend_framework
1.9.5
zendzend_framework
1.9.6
zendzend_framework
1.9.7
zendzend_framework
1.9.8
zendzend_framework
1.10.0
zendzend_framework
1.10.0:alpha1
zendzend_framework
1.10.0:beta1
zendzend_framework
1.10.0:rc1
zendzend_framework
1.10.1
zendzend_framework
1.10.2
zendzend_framework
1.10.3
zendzend_framework
1.10.4
zendzend_framework
1.10.5
zendzend_framework
1.10.6
zendzend_framework
1.10.7
zendzend_framework
1.10.8
zendzend_framework
1.10.9
zendzend_framework
1.11.0
zendzend_framework
1.11.0:b1
zendzend_framework
1.11.0:rc1
zendzend_framework
1.11.1
zendzend_framework
1.11.2
zendzend_framework
1.11.3
zendzend_framework
1.11.4
zendzend_framework
1.11.5
zendzend_framework
1.11.6
zendzend_framework
1.11.7
zendzend_framework
1.11.8
zendzend_framework
1.11.9
zendzend_framework
1.11.10
zendzend_framework
1.11.11
zendzend_framework
1.11.12
zendzend_framework
1.11.13
zendzend_framework
1.12.0
zendzend_framework
1.12.0:rc1
zendzend_framework
1.12.0:rc2
zendzend_framework
1.12.0:rc3
zendzend_framework
1.12.0:rc4
zendzend_framework
1.12.1
zendzend_framework
1.12.2
zendzend_framework
1.12.3
zendzend_framework
1.12.4
zendzend_framework
1.12.5
zendzend_framework
1.12.6
zendzend_framework
1.12.7
zendzend_framework
1.12.8
zendzend_framework
1.12.9
zendzend_framework
1.12.10
zendzend_framework
1.12.11
zendzend_framework
1.12.12
zendzend_framework
1.12.13
zendzend_framework
2.0.0
zendzend_framework
2.0.0:rc1
zendzend_framework
2.0.0:rc2
zendzend_framework
2.0.0:rc3
zendzend_framework
2.0.0:rc4
zendzend_framework
2.0.0:rc5
zendzend_framework
2.0.0:rc6
zendzend_framework
2.0.0:rc7
zendzend_framework
2.0.1
zendzend_framework
2.0.2
zendzend_framework
2.0.3
zendzend_framework
2.0.4
zendzend_framework
2.0.5
zendzend_framework
2.0.6
zendzend_framework
2.0.7
zendzend_framework
2.1.0
zendzend_framework
2.1.1
zendzend_framework
2.1.2
zendzend_framework
2.1.3
zendzend_framework
2.1.4
zendzend_framework
2.1.5
zendzend_framework
2.1.6
zendzend_framework
2.2.0
zendzend_framework
2.2.1
zendzend_framework
2.2.2
zendzend_framework
2.2.3
zendzend_framework
2.2.4
zendzend_framework
2.2.5
zendzend_framework
2.2.6
zendzend_framework
2.2.7
zendzend_framework
2.2.8
zendzend_framework
2.2.9
zendzend_framework
2.2.10
zendzend_framework
2.3.0
zendzend_framework
2.3.1
zendzend_framework
2.3.2
zendzend_framework
2.3.3
zendzend_framework
2.3.4
zendzend_framework
2.3.5
zendzend_framework
2.3.6
zendzend_framework
2.3.7
zendzend_framework
2.3.8
zendzend_framework
2.3.9
zendzend_framework
2.4.0
zendzend_framework
2.4.1
zendzend_framework
2.4.2
zendzend_framework
2.4.3
zendzend_framework
2.4.4
zendzend_framework
2.4.5
zendzend_framework
2.5.0
zendzend_framework
2.5.1
𝑥
= Vulnerable software versions
Ubuntu logo
Ubuntu Releases
Ubuntu Product
Codename
php-zend-xml
precise
dne
trusty
dne
vivid
ignored
wily
dne
References
http://framework.zend.com/security/advisory/ZF2015-06
http://legalhackers.com/advisories/zend-framework-XXE-vuln.txt
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164409.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165147.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165173.html
http://packetstormsecurity.com/files/133068/Zend-Framework-2.4.2-1.12.13-XXE-Injection.html
http://seclists.org/fulldisclosure/2015/Aug/46
http://www.debian.org/security/2015/dsa-3340
http://www.securityfocus.com/bid/76177
https://www.exploit-db.com/exploits/37765/
http://framework.zend.com/security/advisory/ZF2015-06
http://legalhackers.com/advisories/zend-framework-XXE-vuln.txt
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164409.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165147.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165173.html
http://packetstormsecurity.com/files/133068/Zend-Framework-2.4.2-1.12.13-XXE-Injection.html
http://seclists.org/fulldisclosure/2015/Aug/46
http://www.debian.org/security/2015/dsa-3340
http://www.securityfocus.com/bid/76177
https://www.exploit-db.com/exploits/37765/