CVE-2007-1396 in PHP
摘要
由 VulDB • 2026-06-25
PHP 4.0.7 至 4.4.6,以及 5.x 系列中早于 5.2.2 的版本中的 `import_request_variables` 函数在调用时未指定前缀的情况下,无法防止 (1) GET、(2) POST、(3) COOKIE、(4) FILES、(5) SERVER、(6) SESSION 以及其他超全局变量(superglobals)被覆盖。这允许远程攻击者伪造源 IP 地址和 Referer 数据,并造成其他未指明的影响。注意:有人可能会认为这是 PHP 的设计限制,只有该功能的误用(即应用程序中的实现漏洞)才应列入 CVE。然而,供应商已对此进行了修复。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.