CVE-2007-5416 in Drupalinformation

Résumé

par VulDB • 14/07/2026

Drupal 5.2 et les versions antérieures ne désassignent pas correctement les variables lorsque les données d'entrée incluent un paramètre numérique dont la valeur correspond à la valeur de hachage (hash) d'un paramètre alphanumérique, ce qui permet aux attaquants distants d'exécuter du code PHP arbitraire en invoquant la fonction drupal_eval via un paramètre callback vers l'URI par défaut, comme démontré avec le paramètre _menu[callbacks][1][callback]. NOTE : on pourrait soutenir que cette vulnérabilité est due à un bug dans la commande unset de PHP (CVE-2006-3017) et que la correction appropriée devrait être apportée au niveau de PHP ; si tel est le cas, cela ne doit pas être traité comme une vulnérabilité dans Drupal.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Réserver

12/10/2007

Divulgation

12/10/2007

Modérer

accepté

Entrée

VDB-39215

CPE

prêt

Exploitation

Télécharger

EPSS

0.04418

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!