CVE-2006-4548 in e107info

Zusammenfassung

von VulDB • 01.07.2026

e107 0.75 und frühere Versionen setzen Variablen nicht ordnungsgemäß zurück (unset), wenn die Eingabedaten einen numerischen Parameter mit einem Wert enthalten, der dem Hash-Wert eines alphanumerischen Parameters entspricht. Dies ermöglicht es Remoteangreifern, beliebigen PHP-Code über den image/jpeg-Parameter tinyMCE_imglib_include in e107_handlers/tiny_mce/plugins/ibrowser/ibrowser.php auszuführen, wie durch eine multipart/form-data-Anfrage demonstriert wird. HINWEIS: Es könnte argumentiert werden, dass diese Schwachstelle auf einem Bug im PHP-Befehl „unset“ beruht (CVE-2006-3017) und die korrekte Lösung in PHP liegen sollte; falls dem so ist, sollte dies nicht als Schwachstelle in e107 behandelt werden.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Reservieren

05.09.2006

Veröffentlichung

05.09.2006

Moderieren

akzeptiert

Eintrag

VDB-32093

CPE

bereit

EPSS

0.01639

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!