Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2016-01363

Опубликовано: 16 мая 2016
Источник: fstec
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции escapeshellarg (ext/standard/exec.c) интерпретатора PHP существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы при помощи специально сформированной строки в приложении, которая принимает аргументы через командную строку для вызова системной функции PHP

Вендор

PHP Group

Наименование ПО

PHP

Версия ПО

до 5.4.42 (PHP)
от 5.5.0 до 5.5.26 (PHP)
от 5.6.0 до 5.6.11 (PHP)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Apple Inc. Mac OS X
Microsoft Corp. Windows .
Microsoft Corp. Windows .
Apple Inc. Mac OS X
Oracle Corp. Solaris .
Oracle Corp. Solaris .
HP Inc. HP-UX .
HP Inc. HP-UX .
OpenBSD Project OpenBSD .
OpenBSD Project OpenBSD .

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению уязвимости

Информация об устранении уязвимости доступна по адресу:
http://php.net/ChangeLog-5.php

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06541
Низкий

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-4642

CVSS3: 9.8
ubuntu
больше 9 лет назад

The escapeshellarg function in ext/standard/exec.c in PHP before 5.4.42, 5.5.x before 5.5.26, and 5.6.x before 5.6.10 on Windows allows remote attackers to execute arbitrary OS commands via a crafted string to an application that accepts command-line arguments for a call to the PHP system function.

nvd логотип

CVE-2015-4642

CVSS3: 9.8
nvd
больше 9 лет назад

The escapeshellarg function in ext/standard/exec.c in PHP before 5.4.42, 5.5.x before 5.5.26, and 5.6.x before 5.6.10 on Windows allows remote attackers to execute arbitrary OS commands via a crafted string to an application that accepts command-line arguments for a call to the PHP system function.

debian логотип

CVE-2015-4642

CVSS3: 9.8
debian
больше 9 лет назад

The escapeshellarg function in ext/standard/exec.c in PHP before 5.4.4 ...

github логотип

GHSA-2g3c-3p8m-g2p4

CVSS3: 9.8
github
больше 3 лет назад

The escapeshellarg function in ext/standard/exec.c in PHP before 5.4.42, 5.5.x before 5.5.26, and 5.6.x before 5.6.10 on Windows allows remote attackers to execute arbitrary OS commands via a crafted string to an application that accepts command-line arguments for a call to the PHP system function.

EPSS

Процентиль: 91%
0.06541
Низкий

10 Critical

CVSS2