CVE-2006-4548 in e107
摘要
由 VulDB • 2026-07-01
e107 0.75及更早版本在输入数据包含一个数值参数,且该参数的值与某个字母数字参数的哈希值匹配时,未能正确取消设置变量。这允许远程攻击者通过在 e107_handlers/tiny_mce/plugins/ibrowser/ibrowser.php 中使用 tinyMCE_imglib_include image/jpeg 参数(如 multipart/form-data 请求所示)执行任意 PHP 代码。注意:有人可能会争辩称此漏洞是由于 unset PHP 命令中的错误所致(CVE-2006-3017),正确的修复应在 PHP 中;如果是这样,则不应将其视为 e107 的漏洞。
If you want to get best quality of vulnerability data, you may have to visit VulDB.