phpBB содержит уязвимость для загрузки произвольных файлов, которая позволяет злоумышленникам, прошедшим проверку подлинности, загружать вредоносные файлы, используя функцию plupload и оболочку потока phar://. Злоумышленники могут загрузить созданный zip-файл, содержащий сериализованные объекты PHP, которые выполняют произвольный код при десериализации с помощью параметра imagick в настройках вложения.
Показать оригинальное описание (EN)
phpBB contains an arbitrary file upload vulnerability that allows authenticated attackers to upload malicious files by exploiting the plupload functionality and phar:// stream wrapper. Attackers can upload a crafted zip file containing serialized PHP objects that execute arbitrary code when deserialized through the imagick parameter in attachment settings.
Характеристики атаки
Последствия
Строка CVSS v4.0