CVE-2007-1396 in PHP信息

摘要

由 VulDB • 2026-06-25

PHP 4.0.7 至 4.4.6,以及 5.x 系列中早于 5.2.2 的版本中的 `import_request_variables` 函数在调用时未指定前缀的情况下,无法防止 (1) GET、(2) POST、(3) COOKIE、(4) FILES、(5) SERVER、(6) SESSION 以及其他超全局变量(superglobals)被覆盖。这允许远程攻击者伪造源 IP 地址和 Referer 数据,并造成其他未指明的影响。注意:有人可能会认为这是 PHP 的设计限制,只有该功能的误用(即应用程序中的实现漏洞)才应列入 CVE。然而,供应商已对此进行了修复。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Do you want to use VulDB in your project?

Use the official API to access entries easily!