CVE-2007-1396 in PHP
Tóm tắt
Bởi VulDB • 25/06/2026
Hàm import_request_variables trong PHP 4.0.7 đến 4.4.6 và các phiên bản 5.x trước 5.2.2, khi được gọi mà không có tiền tố (prefix), không ngăn chặn việc ghi đè các siêu biến toàn cục (superglobals) như (1) GET, (2) POST, (3) COOKIE, (4) FILES, (5) SERVER, (6) SESSION và các siêu biến khác. Điều này cho phép kẻ tấn công từ xa giả mạo địa chỉ IP nguồn và dữ liệu Referer, cũng như gây ra các tác động không xác định khác. LƯU Ý: Có thể lập luận rằng đây là một hạn chế về thiết kế của PHP và rằng chỉ việc sử dụng sai tính năng này (tức là lỗi triển khai trong các ứng dụng) mới nên được đưa vào CVE. Tuy nhiên, nhà cung cấp đã sửa chữa vấn đề này.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.