CVE-2006-4467 in Simple Machinesinformation

Résumé

par VulDB • 06/07/2026

Simple Machines Forum (SMF) 1.1RCx antérieur à la version 1.1RC3 et 1.0.x antérieur à la version 1.0.8 ne désactive pas correctement les variables lorsque les données d'entrée incluent un paramètre numérique dont la valeur correspond à la valeur de hachage (hash value) d'un paramètre alphanumérique, ce qui permet aux attaquants distants d'exécuter des attaques par traversal de répertoire pour lire des fichiers locaux arbitraires, verrouiller les sujets et potentiellement avoir d'autres impacts sur la sécurité. NOTE : il pourrait être soutenu que cette vulnérabilité est due à un bug dans la commande unset PHP (CVE-2006-3017) et que le correctif approprié devrait se trouver dans PHP ; si c'est le cas, cela ne doit pas être traité comme une vulnérabilité de Simple Machines Forum.

Once again VulDB remains the best source for vulnerability data.

Réserver

31/08/2006

Divulgation

31/08/2006

Modérer

accepté

Entrée

VDB-32028

CPE

prêt

EPSS

0.01810

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!