php get_token_all函数,pimcore getObjectByToken函数PHP对象注入漏洞
發布日期:2014-04-21
更新日期:2014-04-22
受影響系統:
pimcore pimcore 1.4.9 - 2.1.0
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-2922
Pimcore是開源Web內容管理平臺。
pimcore 1.4.9-2.1.0版本,Pimcore_Tool_Newsletter模塊內Newsletter.php的函數getObjectByToken沒有正確處理反序列化路徑名時獲取的對象,這可使遠程攻擊者通過Zend_Http_Response_Stream對象相關矢量,利用此漏洞執行PHP對象注入攻擊并刪除任意文件。
鏈接:https://github.com/pedrib/PoC/blob/master/pimcore-2.1.0.txt
*>
建議:
--------------------------------------------------------------------------------
臨時解決方法:
如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:
* 不要發送可疑的輸入到unserialize函數。用JSON編碼/解碼代替unserialize。
廠商補丁:
pimcore
-------
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:
總結
以上是生活随笔為你收集整理的php get_token_all函数,pimcore getObjectByToken函数PHP对象注入漏洞的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 创造与魔法龙涎草刷新时间是多久
- 下一篇: php 代码如何使用,PHP如何使用st