Vulnerabilidad en PHP Project Management. (CVE-2007-5641)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
23/10/2007
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de inclusión de archivos remotos PHP en PHP Project Management versiones 0.8.10 y anteriores, permiten a atacantes remotos ejecutar código PHP arbitrario por medio de una URL en el parámetro full_path en los archivos (1) certinfo/index.php, (2) emails/index.php, (3) events/index.php, (4) fax/index.php, (5) files/index.php, (6) files/list.php, (7) groupadm/index.php, (8) history/index.php, (9) info/index.php, (10) log/index.php, (11) mail/index.php, (12) index.php, (13) organizations/index.php, (14) phones/index.php, (15) presence/index.php, (16) projects/index.php, (17) projects/summary.inc.php, (18) projects/list.php, (19) reports/index.php, (20) search/index.php, (21) snf/index., (22) syslog/index.php, (23) tasks/searchsimilar.php, (24) tasks/index.php, (25) tasks/summary.inc.php y (26) useradm/index.php en módulos; (27) archivo /ajax/loadsplash.php; (28) archivo /blocks/birthday.php; (29) archivo /blocks/events.php; y (30) archivo /blocks/help.php.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:phppm:php_project_management:*:*:*:*:*:*:*:* | 0.8.10 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/41905
- http://osvdb.org/41906
- http://osvdb.org/41907
- http://osvdb.org/41908
- http://osvdb.org/41909
- http://osvdb.org/41910
- http://osvdb.org/41912
- http://osvdb.org/41913
- http://osvdb.org/41914
- http://osvdb.org/41917
- http://osvdb.org/41918
- http://osvdb.org/41920
- http://osvdb.org/41925
- http://osvdb.org/41927
- http://osvdb.org/41928
- http://osvdb.org/41931
- http://osvdb.org/41934
- http://osvdb.org/41957
- http://osvdb.org/41975
- http://secunia.com/advisories/27347
- http://www.securityfocus.com/bid/26150
- https://exchange.xforce.ibmcloud.com/vulnerabilities/37347
- https://www.exploit-db.com/exploits/4549
- http://osvdb.org/41905
- http://osvdb.org/41906
- http://osvdb.org/41907
- http://osvdb.org/41908
- http://osvdb.org/41909
- http://osvdb.org/41910
- http://osvdb.org/41912
- http://osvdb.org/41913
- http://osvdb.org/41914
- http://osvdb.org/41917
- http://osvdb.org/41918
- http://osvdb.org/41920
- http://osvdb.org/41925
- http://osvdb.org/41927
- http://osvdb.org/41928
- http://osvdb.org/41931
- http://osvdb.org/41934
- http://osvdb.org/41957
- http://osvdb.org/41975
- http://secunia.com/advisories/27347
- http://www.securityfocus.com/bid/26150
- https://exchange.xforce.ibmcloud.com/vulnerabilities/37347
- https://www.exploit-db.com/exploits/4549