製品・ソフトウェアに関する情報

JVN脆弱性詳細

WordPress における SQL インジェクション保護スキームを回避される脆弱性

タイトル	WordPress における SQL インジェクション保護スキームを回避される脆弱性
概要	WordPress は、PHP に対して mbstring が有効になっている際、SQL クエリをエスケープした後に代替文字セットをデコードするため、SQL インジェクション保護スキームを回避される、および任意の SQL コマンドを実行される脆弱性が存在します。
想定される影響	第三者により、マルチバイトの文字セットを介して、SQL インジェクション保護スキームを回避される、および任意の SQL コマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年1月5日0:00
登録日	2012年12月20日18:19
最終更新日	2012年12月20日18:19

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

WordPress.org

WordPress 2.0.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-0107	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0107
National Vulnerability Database (NVD)
2	CVE-2007-0107	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0107

ベンダー情報

No	名前	URL
WordPress
1	WordPress 2.0.6	http://wordpress.org/news/2007/01/wordpress-206/

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-0107

概要	WordPress before 2.0.6, when mbstring is enabled for PHP, decodes alternate character sets after escaping the SQL query, which allows remote attackers to bypass SQL injection protection schemes and execute arbitrary SQL commands via multibyte charsets, as demonstrated using UTF-7.
概要	WordPress anterior a 2.0.6, cuando mbstring está habilitado para PHP, decodifica juegos de caracteres alternativos tras escapar la petición SQL, lo cual permite a atacantes remotos evitar los esquemas de protección contra inyección SQL y ejecutar comandos SQL de su elección mediante juegos de caracteres multi-byte, como se ha demostrado utilizando UTF-7.
公表日	2007年1月9日9:28
登録日	2021年1月29日14:04
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:wordpress:wordpress::::::::			2.0.5

関連情報、対策とツール

No	URL	refsource
1	http://osvdb.org/31579	cve@mitre.org
2	http://secunia.com/advisories/23595	cve@mitre.org
3	http://secunia.com/advisories/23741	cve@mitre.org
4	http://security.gentoo.org/glsa/glsa-200701-10.xml	cve@mitre.org
5	http://securityreason.com/securityalert/2112	cve@mitre.org
6	http://wordpress.org/development/2007/01/wordpress-206/	cve@mitre.org
7	http://www.hardened-php.net/advisory_022007.141.html	cve@mitre.org
8	http://www.openpkg.com/security/advisories/OpenPKG-SA-2007.005.html	cve@mitre.org
9	http://www.securityfocus.com/archive/1/456049/100/0/threaded	cve@mitre.org
10	http://www.securityfocus.com/bid/21907	cve@mitre.org
11	http://www.vupen.com/english/advisories/2007/0061	cve@mitre.org
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/31297	cve@mitre.org
13	http://osvdb.org/31579	af854a3a-2127-422b-91ae-364da2661108
14	http://secunia.com/advisories/23595	af854a3a-2127-422b-91ae-364da2661108
15	http://secunia.com/advisories/23741	af854a3a-2127-422b-91ae-364da2661108
16	http://security.gentoo.org/glsa/glsa-200701-10.xml	af854a3a-2127-422b-91ae-364da2661108
17	http://securityreason.com/securityalert/2112	af854a3a-2127-422b-91ae-364da2661108
18	http://wordpress.org/development/2007/01/wordpress-206/	af854a3a-2127-422b-91ae-364da2661108
19	http://www.hardened-php.net/advisory_022007.141.html	af854a3a-2127-422b-91ae-364da2661108
20	http://www.openpkg.com/security/advisories/OpenPKG-SA-2007.005.html	af854a3a-2127-422b-91ae-364da2661108
21	http://www.securityfocus.com/archive/1/456049/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
22	http://www.securityfocus.com/bid/21907	af854a3a-2127-422b-91ae-364da2661108
23	http://www.vupen.com/english/advisories/2007/0061	af854a3a-2127-422b-91ae-364da2661108
24	https://exchange.xforce.ibmcloud.com/vulnerabilities/31297	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧