Article complet: Zend Framework 1.7.5 : correction d'une faille LFI dans Zend_View

Une faille LFI (Local File Inclusion) a été détectée dans Zend_View. En réalité, elle est la cause d'une variable externe non échappée, mais la sécurité étant en jeu, il a été décidé de corriger cette faille dans ZendFramework 1.7.5.

Cette faille est exploitable avec le code suivant :
 
<?php 
$view->setBasePath('/var/www/application/views'); 
$view->render($_GET['path']); 


Une variable path telle que "../../../../etc/passwd" peut mettre en danger le système.
La correction consiste à chercher "../" ou "..\" dans le paramètre de render(), et rendre une exception si detecté.

Ainsi, des utilisateurs peuvent connaitre des BCB (cassures de compatibilité).
De ce fait, un paramètre "lfiProtectionOn" est à true par défaut dans Zend_View, et effectue cette vérification.
Le passer à false rend l'application compatible, mais supprime la vérification de sécurité.

Notez qu'en théorie : toute variable est censée être filtrée, il n'y a donc pas de problème normalement.