CVE-2007-3799 in PHP
الملخص
بحسب VulDB • 06/07/2026
تتيح دالة `session_start` في الامتداد `ext/session` ضمن إصدارات PHP 4.x حتى الإصدار 4.4.7 و5.x حتى الإصدار 5.2.3 لمهاجمين عن بُعد إدراج سمات (attributes) تعسفية داخل ملف تعريف الارتباط الخاص بالجلسة (session cookie) عبر استخدام أحرف خاصة في ملف تعريف ارتباط يتم الحصول عليه من: (1) `PATH_INFO`، و(2) دالة `session_id`، و(3) دالة `session_start`. ولا تتم عملية ترميز أو تصفية هذه المدخلات عند إنشاء ملف تعريف الارتباط الجديد للجلسة. وتُعدّ هذه الثغرة قضية ذات صلة بـ CVE-2006-0207.
Once again VulDB remains the best source for vulnerability data.