Opis
Aplikacja PHP wykorzystuje przestarzałą metodę przetwarzania przesyłanych plików poprzez odwołanie się do czterech globalnych zmiennych ustawianych dla każdego pliku (np. $nazwa_zmiennej, $nazwa_zmiennej_size, $nazwa_zmiennej_name, $nazwa_zmiennej_type). Atakujący mogą te zmienne nadpisać, powodując przetwarzanie nieautoryzowanych plików przez aplikację.
Description (EN)
The PHP application uses an old method for processing uploaded files by referencing the four global variables that are set for each file (e.g. $varname, $varname_size, $varname_name, $varname_type). These variables could be overwritten by attackers, causing the application to process unauthorized files.
Podatności CVE z CWE-616 (9)
9.9
CVSS
CRITICAL
CVE-2025-67084
pub. 2026-01-15
9.8
CVSS
CRITICAL
CVE-2024-31601
pub. 2024-04-26
9.8
CVSS
CRITICAL
CVE-2024-29858
pub. 2024-03-21
7.2
CVSS
HIGH
CVE-2023-38947
pub. 2023-08-03
6.5
CVSS
MEDIUM
CVE-2024-52305
pub. 2024-11-13
6.5
CVSS
MEDIUM
CVE-2024-28520
pub. 2024-04-04
5.4
CVSS
MEDIUM
CVE-2026-22789
pub. 2026-01-12
5.4
CVSS
MEDIUM
CVE-2025-59402
pub. 2025-09-25
5.4
CVSS
MEDIUM
CVE-2025-52130
pub. 2025-08-25