CVE-2007-1396 in PHP
要約
〜によって VulDB • 2026年06月25日
PHP 4.0.7 から 4.4.6、および 5.x の 5.2.2 より前のバージョンにおける import_request_variables 関数は、プレフィックスを指定せずに呼び出された場合、(1) GET、(2) POST、(3) COOKIE、(4) FILES、(5) SERVER、(6) SESSION およびその他のスーパーグローバル変数が上書きされるのを防止しないため、リモート攻撃者は送信元 IP アドレスおよび Referer データを偽装でき、その他指定されていない影響を与える可能性があります。注記:これは PHP の設計上の制限であり、この機能の誤用(つまりアプリケーション実装におけるバグ)のみが CVE に含めるべきであるという議論も可能ですが、ベンダーによって修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.