製品・ソフトウェアに関する情報
Vulnerability Search
Windows 版 PHP における OS コマンドインジェクションの脆弱性
Title Windows 版 PHP における OS コマンドインジェクションの脆弱性
Summary

Windows 版 PHP には、escapeshellarg 関数の処理に起因する OS コマンドインジェクションの脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: Masahiro Yamada 氏

Possible impacts 細工されたパラメータを escapeshellarg 関数に処理させることで、任意の OS コマンドを実行させられる可能性があります。
Solution

[パッチを適用する] 開発者が提供する情報をもとにパッチを適用してください。
Publication Date July 17, 2015, midnight
Registration Date July 17, 2015, 12:36 p.m.
Last Update May 19, 2016, 5:39 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
The PHP Group
PHP (Windows 版) 5.4.42 より前のバージョン
PHP (Windows 版) 5.5.26 より前のバージョン
PHP (Windows 版) 5.6.10 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2015年07月17日]
  掲載
[2015年07月22日]
  参考情報:IPA 重要なセキュリティ情報 (Windows 版「PHP」におけるOSコマンド・インジェクションの脆弱性対策について(JVN#73568461) を追加
[2015年07月30日]
  ベンダ情報:ターボリナックス (TLSA-2015-15) を追加
[2016年05月19日]
  参考情報:National Vulnerability Database (NVD) (CVE-2015-4642) を追加
  ベンダ情報:The PHP Group (Fix bug #69646 OS command injection vulnerability in escapeshellarg) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2015-4642
Summary

The escapeshellarg function in ext/standard/exec.c in PHP before 5.4.42, 5.5.x before 5.5.26, and 5.6.x before 5.6.10 on Windows allows remote attackers to execute arbitrary OS commands via a crafted string to an application that accepts command-line arguments for a call to the PHP system function.

Publication Date May 16, 2016, 7:59 p.m.
Registration Date Jan. 26, 2021, 2:51 p.m.
Last Update Nov. 21, 2024, 11:31 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 5.4.41
cpe:2.3:a:php:php:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.1:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.2:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.3:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.4:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.5:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.6:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.7:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.8:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.9:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.10:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.11:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.12:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.13:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.14:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.15:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.16:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.17:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.18:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.19:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.20:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.21:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.22:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.23:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.24:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.5.25:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.0:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.1:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.2:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.3:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.4:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.5:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.6:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.7:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.8:*:*:*:*:*:*:*
cpe:2.3:a:php:php:5.6.9:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List