Katalog CVE

CVE-2025-60641

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

W pliku mexcel.php w Vfront 0.99.52 występuje podatność na deserializację niesprawdzonego wejścia użytkownika. Funkcja unserialize jest wywoływana na danych z $_POST['mexcel'] po dekodowaniu base64, bez walidacji i bez ograniczenia dozwolonych klas. Umożliwia to atakującemu wstrzyknięcie dowolnych obiektów PHP, co może prowadzić do zdalnego wykonania kodu, wstrzyknięcia SQL, przejścia ścieżek lub odmowy usługi.

Ocena ryzyka

Organizacja narażona jest na przejęcie kontroli nad serwerem, wyciek danych lub przerwanie działania usługi. Atakujący może wykorzystać dostępne klasy w kodzie Vfront lub jego zależnościach do przeprowadzenia zdalnego wykonania kodu.

Rekomendacja

Należy natychmiast zaktualizować Vfront do najnowszej wersji, w której usunięto tę podatność. Jeśli aktualizacja nie jest możliwa, należy zastąpić wywołanie unserialize bezpieczną funkcją, taką jak json_decode, lub użyć opcji allowed_classes z pustą tablicą.

Oryginalny opis (angielski, źródło NVD)

The file mexcel.php in the Vfront 0.99.52 codebase contains a vulnerable call to unserialize(base64_decode($_POST['mexcel'])), where $_POST['mexcel'] is user-controlled input. This input is decoded from base64 and deserialized without validation or use of the allowed_classes option, allowing an attacker to inject arbitrary PHP objects. This can lead to malicious behavior, such as Remote Code Execution (RCE), SQL Injection, Path Traversal, or Denial of Service, depending on the availability of exploitable classes in the Vfront codebase or its dependencies.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS