NVD Vulnerability Detail

CVE-2007-6550

Summary	form.php in PMOS Help Desk 2.4 and earlier sends a redirect to the web browser but does not exit, which allows remote attackers to conduct eval injection attacks and execute arbitrary PHP code via the options array parameter.
Publication Date	Dec. 28, 2007, 9:46 a.m.
Registration Date	Jan. 29, 2021, 2:25 p.m.
Last Update	Sept. 29, 2017, 10:29 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:pmos_helpdesk:pmos_helpdesk::::::::			2.4

Related information, measures and tools

No	URL	refsource
1	http://osvdb.org/42662	OSVDB
2	http://secunia.com/advisories/28201	SECUNIA
3	http://www.securityfocus.com/bid/27032	BID
4	http://www.vupen.com/english/advisories/2007/4321	VUPEN
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/39274	XF
6	https://www.exploit-db.com/exploits/4789	EXPLOIT-DB

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

JVN Vulnerability Information

PMOS Help Desk の form.php における任意の PHP コードを実行される脆弱性

Title	PMOS Help Desk の form.php における任意の PHP コードを実行される脆弱性
Summary	PMOS Help Desk の form.php は、存在しない Web ブラウザへのリダイレクトを送信するため、eval インジェクション攻撃を実行される、および任意の PHP コードを実行される脆弱性が存在します。
Possible impacts	第三者により、options 配列パラメータを介して、eval インジェクション攻撃を実行される、および任意の PHP コードを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 27, 2007, midnight
Registration Date	Dec. 20, 2012, 6:34 p.m.
Last Update	Dec. 20, 2012, 6:34 p.m.

Affected System

pmos helpdesk

pmos helpdesk 2.4 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-6550	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6550
National Vulnerability Database (NVD)
2	CVE-2007-6550	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-6550

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
pmos helpdesk
1	Top Page	http://www.h2desk.com/

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.