Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Zend_Log_Writer_Mail en Zend Framework (ZF) (CVE-2009-4417)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264 Permisos, privilegios y/o control de acceso
Fecha de publicación:
24/12/2009
Última modificación:
09/04/2025

Descripción

La función shutdown en la clase Zend_Log_Writer_Mail en Zend Framework (ZF) permite a atacantes dependientes del contexto enviar mensajes e-mail de su lección a varias direcciones a través de vectores relacionados con "events not yet mailed."

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zend:framework:*:*:*:*:*:*:*:* 1.9.6 (incluyendo)
cpe:2.3:a:zend:framework:0.1.3:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.1.4:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.1.5:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.2.0:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.6.0:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.7.0:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.8.0:preview:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.9.0:beta:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.9.1:beta:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.9.2:beta:*:*:*:*:*:*
cpe:2.3:a:zend:framework:0.9.3:beta:*:*:*:*:*:*
cpe:2.3:a:zend:framework:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:zend:framework:1.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:zend:framework:1.0.0:rc2:*:*:*:*:*:*