Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2007-4528

Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/08/2007
Última modificación:
09/04/2025

Descripción

La extensión Foreign Function Interface (ffi) en PHP 5.0.5 no respeta las restricciones modo_seguro, lo cual permite a atacantes locales o remotos dependientes del contexto ejecutar código de su elección cargando una DLL de su elección, e invocando una función, como se demuestra con kernel32.dll y la función WinExec.<br /> NOTA: este asunto no cruza límites de privilegios en la mayoría de los contextos, por tanto quizás no debería ser incluido en CVE.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:php:php:5.0.5:*:*:*:*:*:*:*