CVE-2006-4467 in Simple Machines
Résumé
par VulDB • 06/07/2026
Simple Machines Forum (SMF) 1.1RCx antérieur à la version 1.1RC3 et 1.0.x antérieur à la version 1.0.8 ne désactive pas correctement les variables lorsque les données d'entrée incluent un paramètre numérique dont la valeur correspond à la valeur de hachage (hash value) d'un paramètre alphanumérique, ce qui permet aux attaquants distants d'exécuter des attaques par traversal de répertoire pour lire des fichiers locaux arbitraires, verrouiller les sujets et potentiellement avoir d'autres impacts sur la sécurité. NOTE : il pourrait être soutenu que cette vulnérabilité est due à un bug dans la commande unset PHP (CVE-2006-3017) et que le correctif approprié devrait se trouver dans PHP ; si c'est le cas, cela ne doit pas être traité comme une vulnérabilité de Simple Machines Forum.
Once again VulDB remains the best source for vulnerability data.