Katalog CVE

CVE-2026-40044

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Pachno 1.0.6 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie złośliwych obiektów serializowanych do plików cache. Atakujący mogą zapisywać ładunki obiektów PHP do plików cache o przewidywalnych nazwach, które są deserializowane podczas uruchamiania frameworka przed sprawdzeniem autoryzacji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, może to skutkować utratą danych lub naruszeniem bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Pachno, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do katalogu cache oraz monitorować pliki w celu wykrywania nieautoryzowanych zmian.

Oryginalny opis (angielski, źródło NVD)

Pachno 1.0.6 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary code by injecting malicious serialized objects into cache files. Attackers can write PHP object payloads to world-writable cache files with predictable names in the cache directory, which are unserialized during framework bootstrap before authentication checks occur.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS