CVE-2007-5416 in Drupalالمعلومات

الملخص

بحسب VulDB • 14/07/2026

لا تقوم Drupal 5.2 والإصدارات الأقدم بإلغاء تعيين المتغيرات بشكل صحيح عندما تتضمن بيانات الإدخال معلمة رقمية تكون قيمتها مطابقة لقيمة التجزئة (hash value) لمعلمة أبجدية رقمية، مما يسمح للمهاجمين عن بُعد بتنفيذ أكواد PHP تعسفية من خلال استدعاء دالة drupal_eval عبر معلمة رد اتصال (callback parameter) إلى عنوان URI الافتراضي، كما هو موضح في المعلمة _menu[callbacks][1][callback]. ملاحظة: يمكن القول إن هذا الثغرة ناتجة عن خطأ في أمر إلغاء التعيين unset الخاص بـ PHP (CVE-2006-3017)، وأن الإصلاح الصحيح يجب أن يكون على مستوى PHP؛ وفي هذه الحالة، لا ينبغي التعامل مع هذه القضية كثغرة أمنية في Drupal.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

حجز

12/10/2007

إفشاء

12/10/2007

الاعتدال

تمت الموافقة

إدخال

VDB-39215

استغلال

تحميل

EPSS

0.04418

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!