The ADONewConnection Connect function in adodb.php in XAMPP 1.6.0a and earlier for Windows uses untrusted input for the database server hostname, which allows remote attackers to trigger a library buffer overflow and execute arbitrary code via a long host parameter, or have other unspecified impact. NOTE: it could be argued that this is an issue in mssql_connect (CVE-2007-1411.1) in PHP, or an issue in the ADOdb Library, and the proper fix should be in one of these products; if so, then this should not be treated as a vulnerability in XAMPP.

La función ADONewConnection Connect en adodb.php de XAMPP 1.6.0a y anteriores para Windows utiliza una entrada que no es de confianza para el nombre de la máquina servidora de base de datos, lo cual permite a atacantes remotos provocar un desbordamiento de búfer de librería y ejecutar código de su elección mediante parámetro host largo, o tener otro impacto desconocido. NOTA: se podría argumentar que este asunto es relativo a mssql_connect (CVE-2007-1411.1) en PHP, o a la librería ADOdb, y la solución adecuada debería estar en uno de estos productos; si así fuera, esta no debería ser tratada como una vulnerabilidad en XAMPP.