CVE-2014-9767

Directory traversal vulnerability in the ZipArchive::extractTo function in ext/zip/php_zip.c in PHP before 5.4.45, 5.5.x before 5.5.29, and 5.6.x before 5.6.13 and ext/zip/ext_zip.cpp in HHVM before 3.12.1 allows remote attackers to create arbitrary empty directories via a crafted ZIP archive.

Published: May 22, 2016
Updated: Apr 13, 2023
CVE: CVE-2014-9767
Severity: Low
Exploit:

CVSS v3:

Severity: Low
Score: 4.3
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CVSS v2:

Severity: Low
Score: 4.3
AV:N/AC:M/Au:N/C:N/I:P/A:N

CWEs:

CWE-22

OWASP TOP 10:

A5 - Broken Access Control

Affected Software
References

Software	From	Fixed in
php / php	5.6.1	5.6.1.x
php / php	5.6.5	5.6.5.x
php / php	5.5.19	5.5.19.x
php / php	5.6.12	5.6.12.x
php / php	5.5.25	5.5.25.x
php / php	5.5.0	5.5.0.x
php / php	5.6.0	5.6.0.x
php / php	5.5.1	5.5.1.x
php / php	5.5.5	5.5.5.x
php / php	5.6.4	5.6.4.x
php / php	5.5.21	5.5.21.x
php / php	5.6.6	5.6.6.x
php / php	5.5.14	5.5.14.x
php / php	5.5.7	5.5.7.x
php / php	5.6.11	5.6.11.x
php / php	-	5.4.45.x
php / php	5.6.2	5.6.2.x
php / php	5.6.10	5.6.10.x
php / php	5.5.12	5.5.12.x
php / php	5.5.6	5.5.6.x
php / php	5.6.7	5.6.7.x
php / php	5.5.3	5.5.3.x
php / php	5.5.23	5.5.23.x
php / php	5.5.8	5.5.8.x
php / php	5.5.27	5.5.27.x
php / php	5.5.24	5.5.24.x
php / php	5.5.11	5.5.11.x
php / php	5.5.13	5.5.13.x
php / php	5.5.4	5.5.4.x
php / php	5.5.28	5.5.28.x
php / php	5.5.26	5.5.26.x
php / php	5.6.9	5.6.9.x
php / php	5.5.10	5.5.10.x
php / php	5.6.3	5.6.3.x
php / php	5.5.22	5.5.22.x
php / php	5.6.8	5.6.8.x
php / php	5.5.18	5.5.18.x
php / php	5.5.20	5.5.20.x
php / php	5.5.2	5.5.2.x
php / php	5.5.9	5.5.9.x
hiphop_virtual_machine_for_php_project / hiphop_virtual_machine_for_php	-	3.12.x

Vulnerability Database

289,697

CVE-2014-9767