CVE-2015-5161

The Zend_Xml_Security::scan in ZendXml before 1.0.1 and Zend Framework before 1.12.14, 2.x before 2.4.6, and 2.5.x before 2.5.2, when running under PHP-FPM in a threaded environment, allows remote attackers to bypass security checks and conduct XML external entity (XXE) and XML entity expansion (XEE) attacks via multibyte encoded characters.
ProviderTypeBase ScoreAtk. VectorAtk. ComplexityPriv. RequiredVector
NISTNIST
6.8 UNKNOWN
NETWORK
MEDIUM
AV:N/AC:M/Au:N/C:P/I:P/A:P
redhatCNA
---
---
CVEADP
---
---
Base Score
CVSS 3.x
EPSS Score
Percentile: 96%
VendorProductVersion
zendzend_framework
1.0.0
zendzend_framework
1.0.0:rc1
zendzend_framework
1.0.0:rc2
zendzend_framework
1.0.0:rc2a
zendzend_framework
1.0.0:rc3
zendzend_framework
1.0.1
zendzend_framework
1.0.2
zendzend_framework
1.0.3
zendzend_framework
1.0.4
zendzend_framework
1.5.0:rc1
zendzend_framework
1.5.0:rc2
zendzend_framework
1.5.0:rc3
zendzend_framework
1.5.1
zendzend_framework
1.5.2
zendzend_framework
1.5.3
zendzend_framework
1.6.0
zendzend_framework
1.6.0:rc1
zendzend_framework
1.6.0:rc2
zendzend_framework
1.6.0:rc3
zendzend_framework
1.6.1
zendzend_framework
1.6.2
zendzend_framework
1.7.0
zendzend_framework
1.7.0:pl1
zendzend_framework
1.7.0:pr
zendzend_framework
1.7.1
zendzend_framework
1.7.2
zendzend_framework
1.7.3
zendzend_framework
1.7.3:pl1
zendzend_framework
1.7.4
zendzend_framework
1.7.5
zendzend_framework
1.7.6
zendzend_framework
1.7.7
zendzend_framework
1.7.8
zendzend_framework
1.7.9
zendzend_framework
1.8.0
zendzend_framework
1.8.0:a1
zendzend_framework
1.8.0:b1
zendzend_framework
1.8.1
zendzend_framework
1.8.2
zendzend_framework
1.8.3
zendzend_framework
1.8.4
zendzend_framework
1.8.4:pl1
zendzend_framework
1.8.5
zendzend_framework
1.9.0
zendzend_framework
1.9.0:a1
zendzend_framework
1.9.0:b1
zendzend_framework
1.9.0:rc1
zendzend_framework
1.9.1
zendzend_framework
1.9.2
zendzend_framework
1.9.3
zendzend_framework
1.9.3:pl1
zendzend_framework
1.9.4
zendzend_framework
1.9.5
zendzend_framework
1.9.6
zendzend_framework
1.9.7
zendzend_framework
1.9.8
zendzend_framework
1.10.0
zendzend_framework
1.10.0:alpha1
zendzend_framework
1.10.0:beta1
zendzend_framework
1.10.0:rc1
zendzend_framework
1.10.1
zendzend_framework
1.10.2
zendzend_framework
1.10.3
zendzend_framework
1.10.4
zendzend_framework
1.10.5
zendzend_framework
1.10.6
zendzend_framework
1.10.7
zendzend_framework
1.10.8
zendzend_framework
1.10.9
zendzend_framework
1.11.0
zendzend_framework
1.11.0:b1
zendzend_framework
1.11.0:rc1
zendzend_framework
1.11.1
zendzend_framework
1.11.2
zendzend_framework
1.11.3
zendzend_framework
1.11.4
zendzend_framework
1.11.5
zendzend_framework
1.11.6
zendzend_framework
1.11.7
zendzend_framework
1.11.8
zendzend_framework
1.11.9
zendzend_framework
1.11.10
zendzend_framework
1.11.11
zendzend_framework
1.11.12
zendzend_framework
1.11.13
zendzend_framework
1.12.0
zendzend_framework
1.12.0:rc1
zendzend_framework
1.12.0:rc2
zendzend_framework
1.12.0:rc3
zendzend_framework
1.12.0:rc4
zendzend_framework
1.12.1
zendzend_framework
1.12.2
zendzend_framework
1.12.3
zendzend_framework
1.12.4
zendzend_framework
1.12.5
zendzend_framework
1.12.6
zendzend_framework
1.12.7
zendzend_framework
1.12.8
zendzend_framework
1.12.9
zendzend_framework
1.12.10
zendzend_framework
1.12.11
zendzend_framework
1.12.12
zendzend_framework
1.12.13
zendzend_framework
2.0.0
zendzend_framework
2.0.0:rc1
zendzend_framework
2.0.0:rc2
zendzend_framework
2.0.0:rc3
zendzend_framework
2.0.0:rc4
zendzend_framework
2.0.0:rc5
zendzend_framework
2.0.0:rc6
zendzend_framework
2.0.0:rc7
zendzend_framework
2.0.1
zendzend_framework
2.0.2
zendzend_framework
2.0.3
zendzend_framework
2.0.4
zendzend_framework
2.0.5
zendzend_framework
2.0.6
zendzend_framework
2.0.7
zendzend_framework
2.1.0
zendzend_framework
2.1.1
zendzend_framework
2.1.2
zendzend_framework
2.1.3
zendzend_framework
2.1.4
zendzend_framework
2.1.5
zendzend_framework
2.1.6
zendzend_framework
2.2.0
zendzend_framework
2.2.1
zendzend_framework
2.2.2
zendzend_framework
2.2.3
zendzend_framework
2.2.4
zendzend_framework
2.2.5
zendzend_framework
2.2.6
zendzend_framework
2.2.7
zendzend_framework
2.2.8
zendzend_framework
2.2.9
zendzend_framework
2.2.10
zendzend_framework
2.3.0
zendzend_framework
2.3.1
zendzend_framework
2.3.2
zendzend_framework
2.3.3
zendzend_framework
2.3.4
zendzend_framework
2.3.5
zendzend_framework
2.3.6
zendzend_framework
2.3.7
zendzend_framework
2.3.8
zendzend_framework
2.3.9
zendzend_framework
2.4.0
zendzend_framework
2.4.1
zendzend_framework
2.4.2
zendzend_framework
2.4.3
zendzend_framework
2.4.4
zendzend_framework
2.4.5
zendzend_framework
2.5.0
zendzend_framework
2.5.1
𝑥
= Vulnerable software versions
Ubuntu logo
Ubuntu Releases
Ubuntu Product
Codename
php-zend-xml
wily
dne
vivid
ignored
trusty
dne
precise
dne
References
http://framework.zend.com/security/advisory/ZF2015-06
http://legalhackers.com/advisories/zend-framework-XXE-vuln.txt
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164409.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165147.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165173.html
http://packetstormsecurity.com/files/133068/Zend-Framework-2.4.2-1.12.13-XXE-Injection.html
http://seclists.org/fulldisclosure/2015/Aug/46
http://www.debian.org/security/2015/dsa-3340
http://www.securityfocus.com/bid/76177
https://www.exploit-db.com/exploits/37765/
http://framework.zend.com/security/advisory/ZF2015-06
http://legalhackers.com/advisories/zend-framework-XXE-vuln.txt
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164409.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165147.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165173.html
http://packetstormsecurity.com/files/133068/Zend-Framework-2.4.2-1.12.13-XXE-Injection.html
http://seclists.org/fulldisclosure/2015/Aug/46
http://www.debian.org/security/2015/dsa-3340
http://www.securityfocus.com/bid/76177
https://www.exploit-db.com/exploits/37765/