Vulnerabilidad en host en PEAR. (CVE-2009-4024)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
29/11/2009
Última modificación:
09/04/2025
Descripción
La vulnerabilidad de inyección de argumentos en la función ping en el archivo Ping.php en el paquete Net_Ping anterior a versión 2.4.5 para PEAR, permite a los atacantes remotos ejecutar comandos de shell arbitrarios por medio del parámetro host. NOTA: esto también se ha notificado como un problema del metacarácter de shell.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pear:pear:*:*:*:*:*:*:*:* | 2.4.4 (incluyendo) | |
| cpe:2.3:a:pear:pear:0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pear:pear:2.4.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.pear.php.net/2009/11/14/net_traceroute-and-net_ping-security-advisory/
- http://pear.php.net/advisory20091114-01.txt
- http://pear.php.net/package/Net_Ping/download/2.4.5
- http://secunia.com/advisories/37451
- http://secunia.com/advisories/37502
- http://svn.php.net/viewvc/pear/packages/Net_Ping/trunk/Ping.php?r1=274728&r2=290669&pathrev=290669
- http://www.debian.org/security/2009/dsa-1949
- http://www.securityfocus.com/bid/37093
- http://www.vupen.com/english/advisories/2009/3320
- https://exchange.xforce.ibmcloud.com/vulnerabilities/54390
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg01044.html
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg01130.html
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg01152.html
- http://blog.pear.php.net/2009/11/14/net_traceroute-and-net_ping-security-advisory/
- http://pear.php.net/advisory20091114-01.txt
- http://pear.php.net/package/Net_Ping/download/2.4.5
- http://secunia.com/advisories/37451
- http://secunia.com/advisories/37502
- http://svn.php.net/viewvc/pear/packages/Net_Ping/trunk/Ping.php?r1=274728&r2=290669&pathrev=290669
- http://www.debian.org/security/2009/dsa-1949
- http://www.securityfocus.com/bid/37093
- http://www.vupen.com/english/advisories/2009/3320
- https://exchange.xforce.ibmcloud.com/vulnerabilities/54390
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg01044.html
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg01130.html
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg01152.html