Zend Framework 3.0含有遠端程式執行漏洞

安全研究人員Ling-Yizhou本周揭露了一個存在於Zend Framework 3.0的安全漏洞，該編號為CVE-2021-3007的漏洞屬於反序列化漏洞，可造成權限擴張並允許駭客自遠端執行程式，而讓採用該框架的PHP應用程式受駭。

Zend Framework為一開源的物件導向Web應用程式框架，被用來打造各種基於PHP的電子商務平臺、內容管理平臺、健康照護系統、娛樂平臺與傳訊服務等，在2016年釋出支援PHP 7的Zend Framework 3.0，於2019年移至Linux基金會代管的Laminas專案。

此一編號為CVE-2021-3007的漏洞涉及Stream.php檔案中的_destruct函數，成功的開採要求簡單的認證，它除了波及Zend Framework 3.0之外，也有部分Laminas實例受到影響。