PHP Filter_Var函数FILTER_VALIDATE_EMAIL注入换行漏洞 CVE-2007-1900 CNNVD-200704-148 CNVD-2009-10173

5.0 AV AC AU C I A
发布: 2007-04-10
修订: 2017-10-11

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。 PHP的ext/filter扩展在使用正则表达式库时存在漏洞,远程攻击者可能利用此漏洞输入恶意邮件。 PHP的ext/filter扩展内部对正则表达式使用了PCRE库。在FILTER_VALIDATE_EMAIL过滤器中没有使用\"D\"修饰符,而如果PCRE正则表达式中没有使用\"D\"修饰符的话,\"$\"的意思就不是\"标题的末尾\",而是\"标题的末尾或接近带有单个换行符的末尾\",这样恶意用户就可以在邮件头中注入换行符。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有2条受影响产品信息