NVD Vulnerability Detail

CVE-2008-7002

Summary	PHP 5.2.5 does not enforce (a) open_basedir and (b) safe_mode_exec_dir restrictions for certain functions, which might allow local users to bypass intended access restrictions and call programs outside of the intended directory via the (1) exec, (2) system, (3) shell_exec, (4) passthru, or (5) popen functions, possibly involving pathnames such as "C:" drive notation.
Summary	PHP v.5.2.5 no respeta las restricciones de ciertas funciones(a) open_basedir y(b) safe_mode_exec_dir, que pueden permitir a usuarios locales saltarse las restricciones de acceso previstas y las llamadas a programas externas del directorio previsto a través de las funciones (1) exec, (2) system, (3) shell_exec, (4) passthru, o(5) popen , probablemente relacionados con nombres de ruta como "C:" notación unidad.
Publication Date	Aug. 19, 2009, 2:24 p.m.
Registration Date	Jan. 29, 2021, 1:51 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:php:php:5.2.5:::::::*

Related information, measures and tools

No	URL	refsource
1	http://downloads.securityfocus.com/vulnerabilities/exploits/31064.php	cve@mitre.org
2	http://www.securityfocus.com/bid/31064	cve@mitre.org
3	http://downloads.securityfocus.com/vulnerabilities/exploits/31064.php	af854a3a-2127-422b-91ae-364da2661108
4	http://www.securityfocus.com/bid/31064	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN Vulnerability Information

PHP におけるアクセス制限を回避される脆弱性

Title	PHP におけるアクセス制限を回避される脆弱性
Summary	PHP には、特定関数の (a) open_basedir および (b) safe_mode_exec_dir 制限を実行しないため、アクセス制限を回避される、およびディレクトリの外のプログラムを呼び出される脆弱性が存在します。
Possible impacts	ローカルユーザにより、"C:" ドライブなどのパス名に関連する、以下の関数を介して、アクセス制限を回避される、およびディレクトリの外のプログラムを呼び出しされる可能性があります。 (1) exec 関数 (2) system 関数 (3) shell_exec 関数 (4) passthru 関数 (5) popen 関数
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Aug. 19, 2009, midnight
Registration Date	Sept. 25, 2012, 5:27 p.m.
Last Update	Sept. 25, 2012, 5:27 p.m.

Affected System

The PHP Group

PHP 5.2.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-7002	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-7002
National Vulnerability Database (NVD)
2	CVE-2008-7002	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-7002

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
PHP
1	Top Page	http://www.php.net/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.