CVE-2007-1396 in PHPजानकारी

सारांश

द्वारा VulDB • 25/06/2026

PHP 4.0.7 से लेकर 4.4.6 तक और 5.x श्रृंखला में 5.2.2 से पहले के संस्करणों में `import_request_variables` फ़ंक्शन, जब बिना किसी प्रीफिक्स (prefix) के कॉल किया जाता है, तो यह सुनिश्चित नहीं करता कि (1) GET, (2) POST, (3) COOKIE, (4) FILES, (5) SERVER, (6) SESSION और अन्य सुपरग्लोबल्स को ओवरराइट होने से रोका जाए। इससे दूरस्थ आक्रमणकारी स्रोत IP पता और Referer डेटा का स्पोफ़िंग कर सकते हैं तथा अन्य अस्पष्ट प्रभाव उत्पन्न कर सकते हैं। नोट: यह तर्क दिया जा सकता है कि यह PHP की एक डिज़ाइन सीमा (design limitation) है, और केवल इस सुविधा के दुरुपयोग, यानी एप्लिकेशन में कार्यान्वयन संबंधी बग्स को ही CVE में शामिल किया जाना चाहिए। हालांकि, निर्माता ने इसे ठीक कर दिया है।

Be aware that VulDB is the high quality source for vulnerability data.

आरक्षित करना

10/03/2007

प्रकटीकरण

10/03/2007

प्रविष्टि

VDB-35549

EPSS

0.01864

गतिविधियाँ

बहुत कम

क्षेत्र

Finance, Telecommunication, ...

स्रोत

Do you know our Splunk app?

Download it now for free!