The Component Object Model (COM) functions in PHP 5.x on Windows do not follow safe_mode and disable_functions restrictions, which allows context-dependent attackers to bypass intended limitations, as demonstrated by executing objects with the kill bit set in the corresponding ActiveX control Compatibility Flags, executing programs via a function in compatUI.dll, invoking wscript.shell via wscript.exe, invoking Scripting.FileSystemObject via wshom.ocx, and adding users via a function in shgina.dll, related to the com_load_typelib function.
Las funciones Component Object Model (COM) en PHP 5.x sobre Windows no siguen las restricciones safe_mode y disable_functions, lo cual permite a atacantes dependientes del contexto evitar las limitaciones intencionadas, como se demostró ejecutando objetos con el bit matar asignado en el correspondientes controlador ActiveX Compatibility Flags, ejecutando programas a través de una función en compatUI.dll, invocando wscript.shell a través de wscript.exe, invocando Scripting.FileSystemObject a través de wshom.ocx, y añadiendo usuarios a través de una función en shgina.dll, relacionado con la función com_load_typelib.
