Vulnerabilidad en phpCollegeExchange (CVE-2009-2218)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
25/06/2009
Última modificación:
19/09/2017
Descripción
Múltiples vulnerabilidades de inclusión remota de archivo en PHP en phpCollegeExchange 0.1.5c, cuando está habilitado register_globals, permiten a atacantes remotos ejecutar código PHP de su elección mediante una URL en el parámetro home para (1) i_head.php, (2) i_nav.php, (3) user_new_2.php, (4) house/myrents.php, (5) allbooks.php, (6) home.php, o (7) mybooks.php in books/. NOTA: house/myrents.php fue además reportado de manera separada como un problema de inclusión de fichero local.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:david_degner:phpcollegeexchange:0.1.5c:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página