JVNDB-2007-006254

PHP Project Management における PHP リモートファイルインクルージョンの脆弱性

PHP Project Management には、PHP リモートファイルインクルージョンの脆弱性が存在します。

phppm

• php project management 0.8.10 およびそれ以前

第三者により、以下のパラメータの URL を介して、任意の PHP コードを実行される可能性があります。
(1) modules 配下の certinfo/index.php への full_path パラメータ
(2) modules 配下の emails/index.php への full_path パラメータ
(3) modules 配下の events/index.php への full_path パラメータ
(4) modules 配下の fax/index.php への full_path パラメータ
(5) modules 配下の files/index.php への full_path パラメータ
(6) modules 配下の files/list.php への full_path パラメータ
(7) modules 配下の groupadm/index.php への full_path パラメータ
(8) modules 配下の history/index.php への full_path パラメータ
(9) modules 配下の info/index.php への full_path パラメータ
(10) modules 配下の log/index.php への full_path パラメータ
(11) modules 配下の mail/index.php への full_path パラメータ
(12) modules 配下の messages/index.php への full_path パラメータ
(13) modules 配下の organizations/index.php への full_path パラメータ
(14) modules 配下の phones/index.php への full_path パラメータ
(15) modules 配下の presence/index.php への full_path パラメータ
(16) modules 配下の projects/index.php への full_path パラメータ
(17) modules 配下の projects/summary.inc.php への full_path パラメータ
(18) modules 配下の projects/list.php への full_path パラメータ
(19) modules 配下の reports/index.php への full_path パラメータ
(20) modules 配下の search/index.php への full_path パラメータ
(21) modules 配下の snf/index.php への full_path パラメータ
(22) modules 配下の syslog/index.php への full_path パラメータ
(23) modules 配下の tasks/searchsimilar.php への full_path パラメータ
(24) modules 配下の tasks/index.php への full_path パラメータ
(25) modules 配下の tasks/summary.inc.php への full_path パラメータ
(26) modules 配下の useradm/index.php への full_path パラメータ
(27) /ajax/loadsplash.php への full_path パラメータ
(28) /blocks/birthday.php への full_path パラメータ
(29) /blocks/events.php への full_path パラメータ
(30) /blocks/help.php への full_path パラメータ

ベンダ情報および参考情報を参照して適切な対策を実施してください。

phppm

• phppm : PHP Project Management

1. コード・インジェクション(CWE-94) [NVD評価]

1. CVE-2007-5641

1. National Vulnerability Database (NVD) : CVE-2007-5641

• [2012年12月20日]
    掲載