検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

PHPUnit のリモートコード実行

critical Web App Scanning プラグイン ID 98984

Language:

概要

PHPUnit のリモートコード実行

説明

PHPUnit は、アプリケーション開発サイクルでユニットテストを実行するために構築された PHP のテストフレームワークです。4.8.28 より前の PHPUnit バージョンおよび 5.6.3 より前の 5.x では、リモートの攻撃者が、漏洩時に /vendor/phpunit/src/Util/PHP/eval-stdin.php URI を介して任意の PHP コードを実行する可能性があります。

ソリューション

少なくともバージョン 4.8.28 または 5.6.3 にアップグレードしてください。
一部のベンダーは、PHPUnit を使用せずにソフトウェアリリースにバンドルしています。必要ない場合、これをアプリケーションから安全に削除できるかどうか、ベンダーに確認してください。

参考資料

http://web.archive.org/web/20170701212357/http://phpunit.vulnbusters.com/

https://github.com/sebastianbergmann/phpunit/commit/284a69fb88a2d0845d23f42974a583d8f59bf5a5

プラグインの詳細

深刻度: Critical

ID: 98984

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2020/3/11

更新日: 2021/9/7

スキャンテンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Critical

スコア: 9.0

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2017-9841

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2017-9841

脆弱性情報

CPE: cpe:2.3:a:phpunit_project:phpunit:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: No known exploits are available

CISA の既知の悪用された脆弱性の期限日: 2022/8/15

参照情報

CVE: CVE-2017-9841

BID: 101798

CWE: 94

OWASP: 2010-A1, 2013-A1, 2013-A9, 2017-A1, 2017-A9, 2021-A3, 2021-A6

WASC: OS Commanding

CAPEC: 242, 35, 77

DISA STIG: APSC-DV-002510, APSC-DV-002630

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.14.2.5

NIST: sp800_53-CM-6b, sp800_53-SI-10

OWASP API: 2019-API7, 2019-API8, 2023-API8

OWASP ASVS: 4.0.2-14.2.1, 4.0.2-5.2.5

PCI-DSS: 3.2-6.2, 3.2-6.5.1