Vulnerabilidad en La función parse_str en (1) PHP, (2) Hardened-PHP y (3) Suhosin, (CVE-2007-3205)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/06/2007
Última modificación:
16/10/2018
Descripción
La función parse_str en (1) PHP, (2) Hardened-PHP y (3) Suhosin, cuando se llama sin un segundo parámetro, podría permitir a los atacantes remotos sobrescribir variables arbitrarias mediante la especificación de nombres de variables y valores en la cadena que será analizada. NOTA: no está claro si se trata de una limitación creada en la función o un error en PHP, aunque es probable que sea considerada como un error en Hardened-PHP y Suhosin.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hardened-php_project:hardened-php:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:hardened-php_project:subhosin:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:php:php:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/39834
- http://securityreason.com/securityalert/2800
- http://www.acid-root.new.fr/advisories/14070612.txt
- http://www.securityfocus.com/archive/1/471178/100/0/threaded
- http://www.securityfocus.com/archive/1/471204/100/0/threaded
- http://www.securityfocus.com/archive/1/471275/100/0/threaded
- https://exchange.xforce.ibmcloud.com/vulnerabilities/34836