Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Función var_export en PHP (CVE-2010-2531)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
20/08/2010
Última modificación:
11/04/2025

Descripción

La función var_export en PHP v5.2 anterior a v5.2.14 y v5.3 anterior a v5.3.3 vacía el búfer de salida para el usuario cuando se producen ciertos errores graves, incluso cuando display_errors está apagado, lo que permite a atacantes remotos obtener información sensible provocando que la aplicación exceda los límites de memoria, tiempo de ejecución, o recursividad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 5.2.0 (incluyendo) 5.2.14 (excluyendo)
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* 5.3.0 (incluyendo) 5.3.3 (excluyendo)
cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información