Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en main / streams / plain_wrapper.c en PHP (CVE-2009-3559)

Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/11/2009
Última modificación:
09/04/2025

Descripción

** EN DISPUTA ** main / streams / plain_wrapper.c en PHP 5.3.x anterior a 5.3.1 no reconoce la directiva safe_mode_include_dir, que permite que los atacantes dependientes del contexto tengan un impacto desconocido al desencadenar la falla de los scripts PHP que incluyen incluir o requiere operaciones, como lo demuestra un script que intenta realizar un require_once en un archivo en un directorio de biblioteca estándar. NOTA: un tercero confiable informa que esto no es una vulnerabilidad, ya que resulta en una política de seguridad más restrictiva.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:5.3.0:*:*:*:*:*:*:*