logo
DATABASE RESOURCES PRICING ABOUT US

CVE-2011-2202

Description

The rfc1867_post_handler function in main/rfc1867.c in PHP before 5.3.7 does not properly restrict filenames in multipart/form-data POST requests, which allows remote attackers to conduct absolute path traversal attacks, and possibly create or overwrite arbitrary files, via a crafted upload request, related to a "file path injection vulnerability."


Affected Software


CPE Name Name Version
php:php php 4.3.9
php:php php 4.4.9
php:php php 3.0
php:php php 4.0
php:php php 3.0.5
php:php php 3.0.11
php:php php 5.3.1
php:php php 4.2.0
php:php php 3.0.1
php:php php 3.0.2
php:php php 4.4.4
php:php php 4.1.0
php:php php 4.3.4
php:php php 4.0.4
php:php php 4.3.0
php:php php 4.0.5
php:php php 3.0.8
php:php php 4.3.6
php:php php 3.0.13
php:php php 4.3.7
php:php php 4.2.2
php:php php 4.4.2
php:php php 3.0.7
php:php php 4.3.2
php:php php 4.3.11
php:php php 4.0.0
php:php php 3.0.6
php:php php 3.0.17
php:php php 4.0.7
php:php php 4.0.2
php:php php 4.3.3
php:php php 2.0
php:php php 4.1.1
php:php php 3.0.15
php:php php 3.0.16
php:php php 5.3.0
php:php php 4.4.3
php:php php 5.3.3
php:php php 3.0.10
php:php php 3.0.4
php:php php 4.2.3
php:php php 4.4.5
php:php php 2.0b10
php:php php 4.4.8
php:php php 4.0.6
php:php php 4.1.2
php:php php 5.3.2
php:php php 5.3.4
php:php php 4.3.1
php:php php 3.0.18
php:php php 4.4.0
php:php php 4.3.10
php:php php 4.2.1
php:php php 4.0.1
php:php php 1.0
php:php php 4.4.6
php:php php 3.0.12
php:php php 5.3.5
php:php php 5.3.6
php:php php 4.4.1
php:php php 4.0.3
php:php php 3.0.14
php:php php 3.0.9
php:php php 3.0.3
php:php php 4.3.8
php:php php 4.3.5
php:php php 4.4.7

Related