| タイトル | phpMyBackupPro における任意の PHP コードを実行される脆弱性 |
|---|---|
| 概要 | phpMyBackupPro は、整数入力を検証しないため、任意の PHP コードを実行される脆弱性が存在します。 |
| 想定される影響 | リモート認証されたユーザにより、scheduled.php の path、filename、および period パラメータを介してスクリプトを挿入され、挿入されたスクリプトへのリクエストを作成される、または PHP variable 変数を介して PHP 設定変数に PHP を挿入されることで、任意の PHP コードを実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2015年4月25日0:00 |
| 登録日 | 2017年8月10日10:22 |
| 最終更新日 | 2017年8月10日10:22 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:P/I:P/A:P |
| phpMyBackupPro |
| phpMyBackupPro 2.5 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年08月10日] 掲載 |
2018年2月17日10:37 |
| 概要 | phpMyBackupPro before 2.5 does not validate integer input, which allows remote authenticated users to execute arbitrary PHP code by injecting scripts via the path, filename, and period parameters to scheduled.php, and making requests to injected scripts, or by injecting PHP into a PHP configuration variable via a PHP variable variable. |
|---|---|
| 公表日 | 2017年7月21日23:29 |
| 登録日 | 2021年1月26日14:49 |
| 最終更新日 | 2024年11月21日11:29 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:phpmybackuppro:phpmybackuppro:*:*:*:*:*:*:*:* | 2.5 | ||||