本製品は、指定された変数名が有効かどうかを検証することなく、外部入力を使用して情報を抽出する変数名を決定します。このため、プログラムが意図しない変数を上書きする可能性があります。
たとえば PHP では、register_globals に似た機能を extract で使用することができます。適切な引数を指定せずに extract() や import_request_variables() をコールすると、任意のグローバル変数 (スーパーグローバルも含む) を上書きしてしまう可能性があります。
同様の機能は、カスタム言語を含む他のインタプリタ型言語でも可能です。
The product uses external input to determine the names of variables into which information is extracted, without verifying that the names of the specified variables are valid. This could cause the program to overwrite unintended variables.
For example, in PHP, extraction can be used to provide functionality similar to register_globals, a dangerous functionality that is frequently disabled in production systems. Calling extract() or import_request_variables() without the proper arguments could allow arbitrary global variables to be overwritten, including superglobals.
Similar functionality is possible in other interpreted languages, including custom languages.