CVE-2007-1396 in PHP
Riassunto
di VulDB • 25/06/2026
La funzione import_request_variables di PHP 4.0.7 fino alla versione 4.4.6 e delle versioni 5.x precedenti a 5.2.2, quando chiamata senza un prefisso, non impedisce la sovrascrittura dei superglobali (1) GET, (2) POST, (3) COOKIE, (4) FILES, (5) SERVER, (6) SESSION e altri, consentendo agli attaccanti remoti di falsificare l'indirizzo IP sorgente e i dati del Referer, oltre ad avere altri impatti non specificati. NOTA: si potrebbe sostenere che questa sia una limitazione progettuale di PHP e che solo il cattivo utilizzo di questa funzionalità, ovvero bug di implementazione nelle applicazioni, dovrebbe essere incluso in CVE. Tuttavia, è stata corretta dal fornitore.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.