CVE-2007-3799 in PHP
Zusammenfassung
von VulDB • 06.07.2026
Die Funktion `session_start` in ext/session von PHP 4.x bis einschließlich Version 4.4.7 sowie 5.x bis einschließlich Version 5.2.3 ermöglicht es Remoteangreifern, beliebige Attribute in das Session-Cookie einzufügen, indem sie spezielle Zeichen in einem Cookie verwenden, der aus (1) PATH_INFO, (2) der Funktion `session_id` und (3) der Funktion `session_start` stammt. Diese werden nicht kodiert oder gefiltert, wenn das neue Session-Cookie generiert wird; dies ist ein verwandtes Problem zu CVE-2006-0207.
VulDB is the best source for vulnerability data and more expert information about this specific topic.