← 戻る
CVE-2015-3638
high
CVSS 8.8
phpMyBackupPro before 2.5 does not validate integer input, which allows remote authenticated users to execute arbitrary PHP code by injecting scripts via the path, filename, and period parameters to s...
概要
phpMyBackupPro before 2.5 does not validate integer input, which allows remote authenticated users to execute arbitrary PHP code by injecting scripts via the path, filename, and period parameters to scheduled.php, and making requests to injected scripts, or by injecting PHP into a PHP configuration...
AI要約 openai / gpt-4o
phpMyBackupProのバージョン2.5より前では、整数入力の検証が行われておらず、これにより認証済みのリモートユーザーが任意のPHPコードを実行できる脆弱性があります。この攻撃は、特定のパラメータにスクリプトを注入したり、PHP設定変数にPHPコードを注入することで可能です。
❓ 何が問題か
未検証の整数入力を通じて任意のPHPコードを実行可能な脆弱性。
📍 影響範囲
phpMyBackupPro 2.5未満のバージョン。
🔥 重要度
高い深刻度(8.8 CVSS v3スコア)であり、リモートからの任意コード実行が可能。
🔧 修正方法
phpMyBackupProをバージョン2.5以上にアップデートする。
🛡️ 暫定回避
情報なし
🔍 検知方法
ネットワークトラフィックをモニタリングし、不正なスクリプトの実行を検出する。