Zend Framework 3.0含有远端程式执行漏洞

安全研究人员Ling-Yizhou本周揭露了一个存在于Zend Framework 3.0的安全漏洞，该编号为CVE-2021-3007的漏洞属于反序列化漏洞，可造成权限扩张并允许骇客自远端执行程式，而让采用该框架的PHP应用程序受骇。

Zend Framework为一开源的物件导向Web应用程序框架，被用来打造各种基于PHP的电子商务平台、内容管理平台、健康照护系统、娱乐平台与传讯服务等，在2016年释出支援PHP 7的Zend Framework 3.0，于2019年移至Linux基金会代管的Laminas专案。

此一编号为CVE-2021-3007的漏洞涉及Stream.php档案中的_destruct函数，成功的开采要求简单的认证，它除了波及Zend Framework 3.0之外，也有部分Laminas实例受到影响。