製品・ソフトウェアに関する情報

JVN脆弱性詳細

WordPress における任意の PHP コードを実行される脆弱性

タイトル	WordPress における任意の PHP コードを実行される脆弱性
概要	2007 年 2 月から 3 月に公式の配布サイトからダウンロードされた WordPress は、外部から追加されたバックドアを含んでいるため、任意の PHP コードを実行される脆弱性が存在します。
想定される影響	第三者により、以下を介して、任意の PHP コードを実行される可能性があります。 (1) wp-includes/feed.php への ix パラメータの eval インジェクションの脆弱性 (2) wp-includes/theme.php への iz パラメータの信頼できない passthru 呼び出し
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年3月2日0:00
登録日	2012年12月20日18:19
最終更新日	2012年12月20日18:19

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

WordPress.org

WordPress 2.1.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-1277	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1277
National Vulnerability Database (NVD)
2	CVE-2007-1277	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-1277

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
WordPress
1	WordPress 2.1.1 dangerous, Upgrade to 2.1.2	http://wordpress.org/news/2007/03/upgrade-212/

その他

No	名前	URL
US-CERT Vulnerability Note
1	VU#214480	http://www.kb.cert.org/vuls/id/214480
2	VU#641456	http://www.kb.cert.org/vuls/id/641456

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-1277

概要	WordPress 2.1.1, as downloaded from some official distribution sites during February and March 2007, contains an externally introduced backdoor that allows remote attackers to execute arbitrary commands via (1) an eval injection vulnerability in the ix parameter to wp-includes/feed.php, and (2) an untrusted passthru call in the iz parameter to wp-includes/theme.php.
概要	WordPress 2.1.1, descargado desde algunos sitios de distribución oficial durante febrero y marzo de 2007, contiene una puerta trasera introducida externamente que permite a atacantes remotos ejecutar comandos de su elección mediante (1) una vulnerabilidad de inyección en eval en el parámetro ix de wp-includes/feed.php, y (2) una llamada a passthru no confiable en el parámetro iz de wp-includes/theme.php.
公表日	2007年3月6日5:19
登録日	2021年1月29日14:08
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:wordpress:wordpress:2.1.1:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://ifsec.blogspot.com/2007/03/wordpress-code-compromised-to-enable.html	cve@mitre.org
2	http://secunia.com/advisories/24374	cve@mitre.org
3	http://wordpress.org/development/2007/03/upgrade-212/	cve@mitre.org
4	http://www.kb.cert.org/vuls/id/214480	cve@mitre.org
5	http://www.kb.cert.org/vuls/id/641456	cve@mitre.org
6	http://www.securityfocus.com/archive/1/461794/100/0/threaded	cve@mitre.org
7	http://www.securityfocus.com/bid/22797	cve@mitre.org
8	http://www.vupen.com/english/advisories/2007/0812	cve@mitre.org
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/32804	cve@mitre.org
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/32807	cve@mitre.org
11	http://ifsec.blogspot.com/2007/03/wordpress-code-compromised-to-enable.html	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/advisories/24374	af854a3a-2127-422b-91ae-364da2661108
13	http://wordpress.org/development/2007/03/upgrade-212/	af854a3a-2127-422b-91ae-364da2661108
14	http://www.kb.cert.org/vuls/id/214480	af854a3a-2127-422b-91ae-364da2661108
15	http://www.kb.cert.org/vuls/id/641456	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/archive/1/461794/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securityfocus.com/bid/22797	af854a3a-2127-422b-91ae-364da2661108
18	http://www.vupen.com/english/advisories/2007/0812	af854a3a-2127-422b-91ae-364da2661108
19	https://exchange.xforce.ibmcloud.com/vulnerabilities/32804	af854a3a-2127-422b-91ae-364da2661108
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/32807	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html