| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in PHP 5.2.4 gefunden. Das betrifft eine unbekannte Funktionalität der Komponente httpd.conf Handler. Die Bearbeitung verursacht erweiterte Rechte. Diese Sicherheitslücke ist unter CVE-2007-5900 bekannt. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
PHP (rekursives Backronym für „PHP: Hypertext Preprocessor“, ursprünglich „Personal Home Page Tools“) ist eine Skriptsprache mit einer an C bzw. C++ angelehnten Syntax, die hauptsächlich zur Erstellung von dynamischen Webseiten oder Webanwendungen verwendet wird. PHP ist Open-Source-Software und zeichnet sich besonders durch die leichte Erlernbarkeit, die breite Datenbankunterstützung und Internet-Protokolleinbindung sowie die Verfügbarkeit zahlreicher, zusätzlicher Funktionsbibliotheken aus. Es existieren beispielsweise Programmbibliotheken, um Bilder und Grafiken zur Einbindung in Webseiten dynamisch zu generieren. Das PHP Team berichtet in einem Advisory von einem Fehler in den Versionen vor 5.2.5, bei dem durch einen unspezifizierten Fehler im Datenhandling mittels ini_set() gewisse Werte der httpd.conf überschrieben werden können. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (38590), Tenable (28181), SecurityFocus (BID 26403†), OSVDB (38680†) und Secunia (SA27648†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-3287, VDB-3284, VDB-3285 und VDB-3282. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 12.11.2007 ein Plugin mit der ID 28181 (PHP < 5.2.5 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.
Nach dem unrühmlichen Month of PHP Bugs wurde es etwas ruhiger um die beliebter Skriptsprache. Diesen Monat gibt es dennoch einige problematische Schwachstellen zu vermelden, die bei nächster Gelegenheit durch ein Update auf die neuste Version behoben werden sollten.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://www.php.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.5
VulDB Temp Score: 5.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 28181
Nessus Name: PHP < 5.2.5 Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 835181
OpenVAS Name: HP StorageWorks Default Accounts and Directory Traversal Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: php.net
Timeline
08.11.2007 🔍08.11.2007 🔍
08.11.2007 🔍
12.11.2007 🔍
12.11.2007 🔍
12.11.2007 🔍
12.11.2007 🔍
20.11.2007 🔍
20.11.2007 🔍
27.11.2007 🔍
03.12.2007 🔍
31.07.2019 🔍
Quellen
Produkt: php.orgAdvisory: php.net
Person: Laurent Gaffie
Firma: PHP
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-5900 (🔍)
GCVE (CVE): GCVE-0-2007-5900
GCVE (VulDB): GCVE-100-3456
OVAL: 🔍
X-Force: 38590
SecurityFocus: 26403 - PHP 5.2.4 and Prior Versions Multiple Vulnerabilities
Secunia: 27648 - PHP Multiple Vulnerabilities, Moderately Critical
OSVDB: 38680 - CVE-2007-5900 - PHP - Security Bypass Issue
SecurityTracker: 1018934
Vulnerability Center: 16935 - PHP < 5.2.5 Local Protection Mechanisms Bypass, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 03.12.2007 13:49Aktualisierung: 31.07.2019 20:26
Anpassungen: 03.12.2007 13:49 (88), 31.07.2019 20:26 (9)
Komplett: 🔍
Editor:
Cache ID: 216:176:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.