漏洞标题
N/A
漏洞描述信息
在特定PHP 4.x和5.x应用程序中,使用sendmail以及在mb_send_mail函数的额外参数参数接受远程输入时,存在参数注入漏洞,这允许基于上下文的 attackers 读取和创建任意文件,通过向sendmail提供额外的-C和-X参数。注意:可以认为这是一种技术特定的漏洞类别,而不是特定的实例;如果是这样,那么不应该将其纳入CVE。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Argument injection vulnerability in certain PHP 4.x and 5.x applications, when used with sendmail and when accepting remote input for the additional_parameters argument to the mb_send_mail function, allows context-dependent attackers to read and create arbitrary files by providing extra -C and -X arguments to sendmail. NOTE: it could be argued that this is a class of technology-specific vulnerability, instead of a particular instance; if so, then this should not be included in CVE.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PHP mb_send_mail多个安全绕过漏洞
漏洞描述信息
在某些PHP 4.x 和 5.x 应用程序中的参数注入漏洞,当发送邮件和接收远程输入使用到位于mb_send_mail 函数中的additional_parameters参数时,允许按内容攻击者通过向发送邮件提供extra -C 和 -X 参数,阅读和创建任意文件。注意:这是一类技术性漏洞,而非特殊情况,对此可能尚有争论。
CVSS信息
N/A
漏洞类别
授权问题