Zend Framework 1(ZF1)是美国Zend公司开发的一套开源的PHP5开发框架,它主要用于开发Web程序和服务。ZendOpenId是其中的一个提供了简单API用于构建启用OpenId的站点和身份标识的组件;Zend_OpenId_Consumer是其中的一个被用来在网站上实现OpenId认证计划的类。 ZF1 1.12.4之前版本的ZendOpenId 2.0.2之前版本和Zend_OpenId_Consumer类中的Consumer组件的GenericConsumer类中存在安全漏洞,该漏洞源于程序没有验证‘openid_op_endpoint’值标识的Identity Provider是否相同。远程攻击者可借助畸形的OpenID Provider利用该漏洞绕过身份验证,冒充任意OpenID身份。
Zend Framework 1(ZF1)是美国Zend公司开发的一套开源的PHP5开发框架,它主要用于开发Web程序和服务。ZendOpenId是其中的一个提供了简单API用于构建启用OpenId的站点和身份标识的组件;Zend_OpenId_Consumer是其中的一个被用来在网站上实现OpenId认证计划的类。 ZF1 1.12.4之前版本的ZendOpenId 2.0.2之前版本和Zend_OpenId_Consumer类中的Consumer组件的GenericConsumer类中存在安全漏洞,该漏洞源于程序没有验证‘openid_op_endpoint’值标识的Identity Provider是否相同。远程攻击者可借助畸形的OpenID Provider利用该漏洞绕过身份验证,冒充任意OpenID身份。