製品・ソフトウェアに関する情報
Vulnerability Search
WebYep における PHP リモートファイルインクルージョンの脆弱性
Title WebYep における PHP リモートファイルインクルージョンの脆弱性
Summary

WebYep には、register_globals が有効になっている際、PHP リモートファイルインクルージョンの脆弱性が存在します。

Possible impacts 第三者により、以下のファイルを含む webyep_sIncludePath を介して、任意の PHP コードを実行される可能性があります。 (a) programm/lib/ ディレクトリの配下の WYApplication.php (b) programm/lib/ ディレクトリの配下の WYDocument.php (c) programm/lib/ ディレクトリの配下の WYEditor.php (d) programm/lib/ ディレクトリの配下の WYElement.php (e) programm/lib/ ディレクトリの配下の WYFile.php (f) programm/lib/ ディレクトリの配下の WYHTMLTag.php (g) programm/lib/ ディレクトリの配下の WYImage.php (h) programm/lib/ ディレクトリの配下の WYLanguage.php (i) programm/lib/ ディレクトリの配下の WYLink.php (j) programm/lib/ ディレクトリの配下の WYPath.php (k) programm/lib/ ディレクトリの配下の WYPopupWindowLink.php (l) programm/lib/ ディレクトリの配下の WYSelectMenu.php (m) programm/lib/ ディレクトリの配下の WYTextArea.php (n) programm/elements/ ディレクトリの配下の WYGalleryElement.php (o) programm/elements/ ディレクトリの配下の WYGuestbookElement.php (p) programm/elements/ ディレクトリの配下の WYImageElement.php (q) programm/elements/ ディレクトリの配下の WYLogonButtonElement.php (r) programm/elements/ ディレクトリの配下の WYLongTextElement.php (s) programm/elements/ ディレクトリの配下の WYLoopElement.php (t) programm/elements/ ディレクトリの配下の WYMenuElement.php (u) programm/elements/ ディレクトリの配下の WYShortTextElement.php (v) programm/webyep.php
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Oct. 10, 2006, midnight
Registration Date Sept. 25, 2012, 3:36 p.m.
Last Update Sept. 25, 2012, 3:36 p.m.
CVSS2.0 : 警告
Score 5.1
Vector AV:N/AC:H/Au:N/C:P/I:P/A:P
Affected System
Objective Development Software GmbH
webyep 1.1.9
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2006-5220
Summary

Multiple PHP remote file inclusion vulnerabilities in WebYep 1.1.9, when register_globals is enabled, allow remote attackers to execute arbitrary PHP code via the webyep_sIncludePath in (1) files in the programm/lib/ directory including (a) WYApplication.php, (b) WYDocument.php, (c) WYEditor.php, (d) WYElement.php, (e) WYFile.php, (f) WYHTMLTag.php, (g) WYImage.php, (h) WYLanguage.php, (i) WYLink.php, (j) WYPath.php, (k) WYPopupWindowLink.php, (l) WYSelectMenu.php, and (m) WYTextArea.php; (2) files in the programm/elements/ directory including (n) WYGalleryElement.php, (o) WYGuestbookElement.php, (p) WYImageElement.php, (q) WYLogonButtonElement.php, (r) WYLongTextElement.php, (s) WYLoopElement.php, (t) WYMenuElement.php, and (u) WYShortTextElement.php; and (3) programm/webyep.php.

Summary

Múltiples vulnerabilidades PHP de inclusión remota de archivos en WebYep 1.1.9, cuando register_globals está habilitado, permite a un atacante remoto ejecutar código PHP de su elección a través de webyep_sIncludePath en (1) archivos en el directorio programm/lib/ incluyendo (a) WYApplication.php, (b) WYDocument.php, (c) WYEditor.php, (d) WYElement.php, (e) WYFile.php, (f) WYHTMLTag.php, (g) WYImage.php, (h) WYLanguage.php, (i) WYLink.php, (j) WYPath.php, (k) WYPopupWindowLink.php, (l) WYSelectMenu.php, y (m) WYTextArea.php; (2) archivos en el directorio programm/elements/ incluyendo (n) WYGalleryElement.php, (o) WYGuestbookElement.php, (p) WYImageElement.php, (q) WYLogonButtonElement.php, (r) WYLongTextElement.php, (s) WYLoopElement.php, (t) WYMenuElement.php, y (u) WYShortTextElement.php; y (3) programm/webyeb.php.

Publication Date Oct. 10, 2006, 1:06 p.m.
Registration Date Jan. 29, 2021, 3:47 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:objective_development:webyep:1.1.9:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List