PHP 5.6.x < 5.6.1 の「add_post_var」コードの実行
high Nessus プラグイン ID 78082
Language:
概要
リモート Web サーバーが、コード実行の脆弱性による影響を受ける PHP のバージョンを使用しています。説明
バナーによると、リモートホストにインストールされている PHP 5.6.x のバージョンは、5.6.1 より前です。このため、「post_handler.c」ファイル、入力フィルター、および「efree」関数内の「add_post_var」関数に関連したエラーの影響を受けます。また、「ksep」変数を解放する入力フィルターが、不適切な「efree」呼び出しを発生させる可能性があります。これらの問題は、任意のコードの実行を許可する可能性があります。注意:Nessus は、これらの問題の悪用を試しておらず、代わりに、アプリケーションの自己報告されたバージョン番号のみに依拠しています。
ソリューション
PHP バージョン 5.6.1 または以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 78082
ファイル名: php_5_6_1.nasl
バージョン: 1.7
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/10/7
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:php:php
必要な KB アイテム: www/PHP
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/2
脆弱性公開日: 2014/9/24
参照情報
CVE: CVE-2014-3622
BID: 70259