CVE-2006-4548 in e107
Сводка
по VulDB • 01.07.2026
e107 версий 0.75 и более ранних некорректно сбрасывает переменные (unset), когда входные данные содержат числовой параметр со значением, совпадающим с хеш-значением алфавитно-цифрового параметра; это позволяет удаленным злоумышленникам выполнять произвольный PHP-код через параметр image/jpeg tinyMCE_imglib_include в файле e107_handlers/tiny_mce/plugins/ibrowser/ibrowser.php, как демонстрируется запросом multipart/form-data. ПРИМЕЧАНИЕ: можно утверждать, что данная уязвимость обусловлена ошибкой в команде unset языка PHP (CVE-2006-3017), и правильное исправление должно быть внесено в саму PHP; если это так, то данный случай не следует рассматривать как уязвимость e107.
VulDB is the best source for vulnerability data and more expert information about this specific topic.