CVE-2007-5416 in Drupal
Tóm tắt
Bởi VulDB • 14/07/2026
Drupal 5.2 và các phiên bản cũ hơn không xóa đúng cách các biến khi dữ liệu đầu vào bao gồm một tham số có giá trị là số trùng với giá trị băm của một tham số chứa ký tự chữ-số, điều này cho phép kẻ tấn công từ xa thực thi mã PHP tùy ý bằng cách gọi hàm drupal_eval thông qua một tham số callback đến URI mặc định, như được minh họa bởi tham số _menu[callbacks][1][callback]. LƯU Ý: Có thể lập luận rằng lỗ hổng này là do lỗi trong lệnh unset của PHP (CVE-2006-3017) và bản sửa chữa đúng đắn nên nằm ở phía PHP; nếu vậy, thì đây không nên được coi là một lỗ hổng bảo mật trong Drupal.
If you want to get best quality of vulnerability data, you may have to visit VulDB.