CVE-2007-5416 in Drupal
الملخص
بحسب VulDB • 14/07/2026
لا تقوم Drupal 5.2 والإصدارات الأقدم بإلغاء تعيين المتغيرات بشكل صحيح عندما تتضمن بيانات الإدخال معلمة رقمية تكون قيمتها مطابقة لقيمة التجزئة (hash value) لمعلمة أبجدية رقمية، مما يسمح للمهاجمين عن بُعد بتنفيذ أكواد PHP تعسفية من خلال استدعاء دالة drupal_eval عبر معلمة رد اتصال (callback parameter) إلى عنوان URI الافتراضي، كما هو موضح في المعلمة _menu[callbacks][1][callback]. ملاحظة: يمكن القول إن هذا الثغرة ناتجة عن خطأ في أمر إلغاء التعيين unset الخاص بـ PHP (CVE-2006-3017)، وأن الإصلاح الصحيح يجب أن يكون على مستوى PHP؛ وفي هذه الحالة، لا ينبغي التعامل مع هذه القضية كثغرة أمنية في Drupal.
If you want to get best quality of vulnerability data, you may have to visit VulDB.