CVE-2007-1396 in PHP
Sumário
de VulDB • 25/06/2026
A função import_request_variables no PHP 4.0.7 até 4.4.6 e nas versões 5.x anteriores à 5.2.2, quando chamada sem um prefixo, não impede que as superglobals (1) GET, (2) POST, (3) COOKIE, (4) FILES, (5) SERVER, (6) SESSION e outras sejam sobrescritas, o que permite que atacantes remotos falsifiquem o endereço IP de origem e os dados do Referer, além de causar outros impactos não especificados. NOTA: pode-se argumentar que esta é uma limitação de design do PHP e que apenas o uso indevido deste recurso, ou seja, bugs de implementação em aplicações, deveria ser incluído no CVE. No entanto, a falha foi corrigida pelo fornecedor.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.