phpMyBackupPro before 2.5 does not validate integer input, which allows remote authenticated users to execute arbitrary PHP code by injecting scripts via the path, filename, and period parameters to s...

Summary

phpMyBackupPro before 2.5 does not validate integer input, which allows remote authenticated users to execute arbitrary PHP code by injecting scripts via the path, filename, and period parameters to scheduled.php, and making requests to injected scripts, or by injecting PHP into a PHP configuration...

AI summary openai / gpt-4o

phpMyBackupProのバージョン2.5より前では、整数入力の検証が行われておらず、これにより認証済みのリモートユーザーが任意のPHPコードを実行できる脆弱性があります。この攻撃は、特定のパラメータにスクリプトを注入したり、PHP設定変数にPHPコードを注入することで可能です。

❓ What is the problem

未検証の整数入力を通じて任意のPHPコードを実行可能な脆弱性。

📍 Affected scope

phpMyBackupPro 2.5未満のバージョン。

🔥 Severity

高い深刻度（8.8 CVSS v3スコア）であり、リモートからの任意コード実行が可能。

🔧 How to fix

phpMyBackupProをバージョン2.5以上にアップデートする。

🛡️ Workaround

情報なし

🔍 Detection

ネットワークトラフィックをモニタリングし、不正なスクリプトの実行を検出する。

References

advisory af854a3a-2127-422b-91ae-364da2661108
advisory af854a3a-2127-422b-91ae-364da2661108
patch af854a3a-2127-422b-91ae-364da2661108

Metadata

CVE: CVE-2015-3638
Published: 2017-07-21
First seen on SecPulse: 8 years ago
First-seen source: NIST National Vulnerability Database

Tags (click for explanation)

Programming Languages

PHP

CWE

Cwe 94

All

Phpmybackuppro

Attack Types

Remote Code Execution

CWE

CWE-94

Detection sources

NIST National Vulnerability Database 2 days ago

Summary

AI summary openai / gpt-4o

References

🍪 About cookies