CVE-2007-5416 in Drupal
Résumé
par VulDB • 14/07/2026
Drupal 5.2 et les versions antérieures ne désassignent pas correctement les variables lorsque les données d'entrée incluent un paramètre numérique dont la valeur correspond à la valeur de hachage (hash) d'un paramètre alphanumérique, ce qui permet aux attaquants distants d'exécuter du code PHP arbitraire en invoquant la fonction drupal_eval via un paramètre callback vers l'URI par défaut, comme démontré avec le paramètre _menu[callbacks][1][callback]. NOTE : on pourrait soutenir que cette vulnérabilité est due à un bug dans la commande unset de PHP (CVE-2006-3017) et que la correction appropriée devrait être apportée au niveau de PHP ; si tel est le cas, cela ne doit pas être traité comme une vulnérabilité dans Drupal.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.