製品・ソフトウェアに関する情報
脆弱性検索
Pheap における認証を回避される脆弱性
タイトル Pheap における認証を回避される脆弱性
概要

Pheap には、認証を回避される脆弱性が存在します。

想定される影響 第三者により、管理者のユーザ名にpheap_login のクッキー値を設定されることで、(1) settings.php を介して、管理者パスワードを含む重要な情報を取得され、(2) edit.php の update_doc アクションを介して、任意の PHP コードをアップロードおよび実行され、認証を回避される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日 2007年6月1日0:00
登録日 2012年9月25日16:47
最終更新日 2012年9月25日16:47
CVSS2.0 : 危険
スコア 10
ベクター AV:N/AC:L/Au:N/C:C/I:C/A:C
影響を受けるシステム
pheap
pheap 2.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2012年09月25日]
  掲載		 2018年2月17日10:37
NVD脆弱性情報
CVE-2007-2985
概要

Pheap 2.0 allows remote attackers to bypass authentication by setting a pheap_login cookie value to the administrator's username, which can be used to (1) obtain sensitive information, including the administrator password, via settings.php or (2) upload and execute arbitrary PHP code via an update_doc action in edit.php.

概要

Pheap versión 2.0, permite a atacantes remotos omitir la autenticación estableciendo un valor de cookie de pheap_login al nombre de usuario del administrador, que puede ser usado para (1) obtener información confidencial, incluida la contraseña del administrador, por medio del archivo settings.php o (2) cargar y ejecutar código PHP arbitrario por medio de una acción update_doc en el archivo edit.php.

公表日 2007年6月1日19:30
登録日 2021年1月29日14:13
最終更新日 2026年4月23日9:35
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:pheap:pheap:2.0:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧