Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2012-2335

Опубликовано: 03 мая 2012
Источник: redhat
CVSS2: 5.1

Уязвимость обхода механизма защиты в PHP через некорректную обработку аргументов командной строки в php-wrapper.fcgi

Описание

Обнаружена уязвимость в php-wrapper.fcgi, связанная с некорректной обработкой аргументов командной строки. Это позволяет удалённым злоумышленникам обойти механизм защиты в PHP и выполнить произвольный код, используя неправильное взаимодействие между компонентом PHP sapi/cgi/cgi_main.c и строкой запроса, начинающейся с последовательности +-.

Заявление

Меры по устранению CVE-2012-2335 включены в следующие обновления PHP для Red Hat Enterprise Linux 5 и 6, которые также решают проблему CVE-2012-2336 (BZ#820708):

Затронутые версии ПО

  • PHP 5.3.12
  • PHP 5.4.2

Тип уязвимости

  • Выполнение произвольного кода
  • Обход механизма защиты

Идентификаторы

  • CVE-2012-2335
  • CVE-2012-2336

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 4phpNot affected
Red Hat Enterprise Linux 5phpAffected
Red Hat Enterprise Linux 5php53Affected
Red Hat Enterprise Linux 6phpAffected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low
https://bugzilla.redhat.com/show_bug.cgi?id=820874php: incomplete CVE-2012-1823 fix - insecure wrapper

5.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2012-2335

ubuntu
почти 14 лет назад

php-wrapper.fcgi does not properly handle command-line arguments, which allows remote attackers to bypass a protection mechanism in PHP 5.3.12 and 5.4.2 and execute arbitrary code by leveraging improper interaction between the PHP sapi/cgi/cgi_main.c component and a query string beginning with a +- sequence.

nvd логотип

CVE-2012-2335

nvd
почти 14 лет назад

php-wrapper.fcgi does not properly handle command-line arguments, which allows remote attackers to bypass a protection mechanism in PHP 5.3.12 and 5.4.2 and execute arbitrary code by leveraging improper interaction between the PHP sapi/cgi/cgi_main.c component and a query string beginning with a +- sequence.

github логотип

GHSA-ppq5-vhcq-mxw2

github
почти 4 года назад

php-wrapper.fcgi does not properly handle command-line arguments, which allows remote attackers to bypass a protection mechanism in PHP 5.3.12 and 5.4.2 and execute arbitrary code by leveraging improper interaction between the PHP sapi/cgi/cgi_main.c component and a query string beginning with a +- sequence.

5.1 Medium

CVSS2