NVD Vulnerability Detail

CVE-2007-4738

Summary	Multiple PHP remote file inclusion vulnerabilities in SpeedTech PHP Library (STPHPLibrary) 0.8.0 allow remote attackers to execute arbitrary PHP code via a URL in the (1) db_conf or (2) ADODB_DIR parameter to utils/stphpimage_show.php; or a URL in the STPHPLIB_DIR parameter to (3) stphpbutton.php, (4) stphpcheckbox.php, (5) stphpcheckboxwithcaption.php, (6) stphpcheckgroup.php, (7) stphpcomponent.php, (8) stphpcontrolwithcaption.php, (9) stphpedit.php, (10) stphpeditwithcaption.php, (11) stphphr.php, (12) stphpimage.php, (13) stphpimagewithcaption.php, (14) stphplabel.php, (15) stphplistbox.php, (16) stphplistboxwithcaption.php, (17) stphplocale.php, (18) stphppanel.php, (19) stphpradiobutton.php, (20) stphpradiobuttonwithcaption.php, (21) stphpradiogroup.php, (22) stphprichbutton.php, (23) stphpspacer.php, (24) stphptable.php, (25) stphptablecell.php, (26) stphptablerow.php, (27) stphptabpanel.php, (28) stphptabtitle.php, (29) stphptextarea.php, (30) stphptextareawithcaption.php, (31) stphptoolbar.php, (32) stphpwindow.php, (33) stphpxmldoc.php, or (34) stphpxmlelement.php, a different set of vectors than CVE-2007-4737. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information.
Publication Date	Sept. 7, 2007, 4:17 a.m.
Registration Date	Jan. 29, 2021, 2:19 p.m.
Last Update	July 29, 2017, 10:33 a.m.

CVSS2.0 : HIGH
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	はい
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:speedtech:stphplibrary:0.8.0:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://osvdb.org/39073	OSVDB
2	http://osvdb.org/39074	OSVDB
3	http://osvdb.org/39075	OSVDB
4	http://osvdb.org/39076	OSVDB
5	http://osvdb.org/39077	OSVDB
6	http://osvdb.org/39078	OSVDB
7	http://osvdb.org/39079	OSVDB
8	http://osvdb.org/39080	OSVDB
9	http://osvdb.org/39081	OSVDB
10	http://osvdb.org/39082	OSVDB
11	http://osvdb.org/39083	OSVDB
12	http://osvdb.org/39084	OSVDB
13	http://osvdb.org/39085	OSVDB
14	http://osvdb.org/39086	OSVDB
15	http://osvdb.org/39087	OSVDB
16	http://osvdb.org/39088	OSVDB
17	http://osvdb.org/39089	OSVDB
18	http://osvdb.org/39090	OSVDB
19	http://osvdb.org/39091	OSVDB
20	http://osvdb.org/39092	OSVDB
21	http://osvdb.org/39093	OSVDB
22	http://osvdb.org/39094	OSVDB
23	http://osvdb.org/39095	OSVDB
24	http://osvdb.org/39096	OSVDB
25	http://osvdb.org/39097	OSVDB
26	http://osvdb.org/39098	OSVDB
27	http://osvdb.org/39099	OSVDB
28	http://osvdb.org/39100	OSVDB
29	http://osvdb.org/39101	OSVDB
30	http://osvdb.org/39102	OSVDB
31	http://osvdb.org/39103	OSVDB
32	http://osvdb.org/39104	OSVDB
33	http://osvdb.org/39105	OSVDB
34	http://secunia.com/advisories/26658	SECUNIA	Vendor Advisory
35	http://www.securityfocus.com/bid/25525	BID
36	https://exchange.xforce.ibmcloud.com/vulnerabilities/36417	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

JVN Vulnerability Information

SpeedTech PHP Library における PHP リモートファイルインクルージョンの脆弱性

Title	SpeedTech PHP Library における PHP リモートファイルインクルージョンの脆弱性
Summary	SpeedTech PHP Library (STPHPLibrary) には、PHP リモートファイルインクルージョンの脆弱性が存在します。本脆弱性は、CVE-2007-4737 とは異なる脆弱性です。
Possible impacts	第三者により、以下に含まれる URL を介して、任意の PHP コードを実行される可能性があります。 (1) utils/stphpimage_show.php への db_conf パラメータ (2) utils/stphpimage_show.php への ADODB_DIR パラメータ (3) stphpbutton.php への STPHPLIB_DIR パラメータ (4) stphpcheckbox.php への STPHPLIB_DIR パラメータ (5) stphpcheckboxwithcaption.php への STPHPLIB_DIR パラメータ (6) stphpcheckgroup.php への STPHPLIB_DIR パラメータ (7) stphpcomponent.php への STPHPLIB_DIR パラメータ (8) stphpcontrolwithcaption.php への STPHPLIB_DIR パラメータ (9) stphpedit.php への STPHPLIB_DIR パラメータ (10) stphpeditwithcaption.php への STPHPLIB_DIR パラメータ (11) stphphr.php への STPHPLIB_DIR パラメータ (12) stphpimage.php への STPHPLIB_DIR パラメータ (13) stphpimagewithcaption.php への STPHPLIB_DIR パラメータ (14) stphplabel.php への STPHPLIB_DIR パラメータ (15) stphplistbox.php への STPHPLIB_DIR パラメータ (16) stphplistboxwithcaption.php への STPHPLIB_DIR パラメータ (17) stphplocale.php への STPHPLIB_DIR パラメータ (18) stphppanel.php への STPHPLIB_DIR パラメータ (19) stphpradiobutton.php への STPHPLIB_DIR パラメータ (20) stphpradiobuttonwithcaption.php への STPHPLIB_DIR パラメータ (21) stphpradiogroup.php への STPHPLIB_DIR パラメータ (22) stphprichbutton.php への STPHPLIB_DIR パラメータ (23) stphpspacer.php への STPHPLIB_DIR パラメータ (24) stphptable.php への STPHPLIB_DIR パラメータ (25) stphptablecell.php への STPHPLIB_DIR パラメータ (26) stphptablerow.php への STPHPLIB_DIR パラメータ (27) stphptabpanel.php への STPHPLIB_DIR パラメータ (28) stphptabtitle.php への STPHPLIB_DIR パラメータ (29) stphptextarea.php への STPHPLIB_DIR パラメータ (30) stphptextareawithcaption.php への STPHPLIB_DIR パラメータ (31) stphptoolbar.php への STPHPLIB_DIR パラメータ (32) stphpwindow.php への STPHPLIB_DIR パラメータ (33) stphpxmldoc.php への STPHPLIB_DIR パラメータ (34) stphpxmlelement.php への STPHPLIB_DIR パラメータ本脆弱性は、CVE-2007-4737 とは異なる脆弱性です。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 6, 2007, midnight
Registration Date	Dec. 20, 2012, 6:33 p.m.
Last Update	Dec. 20, 2012, 6:33 p.m.

Affected System

speedtech

stphplibrary 0.8.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-4738	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4738
National Vulnerability Database (NVD)
2	CVE-2007-4738	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4738

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
speedtech
1	SpeedTech PHP Library	http://stphplib.sourceforge.net/

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.