anonhaven

CVE-2019-25687

CRITICAL CVSS 4.0: 9,3
Обновлено 5 апреля 2026
PHP
Параметр Значение
CVSS 9,3 (CRITICAL)
Тип уязвимости CWE-22 (Обход пути)
Поставщик PHP
Публичный эксплойт Да

Pegasus CMS 1.0 содержит уязвимость удаленного выполнения кода в плагине extra_fields.php, которая позволяет неаутентифицированным злоумышленникам выполнять произвольные команды, используя небезопасную функцию оценки. Злоумышленники могут отправлять POST-запросы к конечной точке submit.php с вредоносным PHP-кодом в параметре действия, чтобы добиться выполнения кода и получить интерактивную оболочку.

Показать оригинальное описание (EN)

Pegasus CMS 1.0 contains a remote code execution vulnerability in the extra_fields.php plugin that allows unauthenticated attackers to execute arbitrary commands by exploiting unsafe eval functionality. Attackers can send POST requests to the submit.php endpoint with malicious PHP code in the action parameter to achieve code execution and obtain an interactive shell.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)

Ссылки 3

https://www.exploit-db.com/exploits/46542
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/pegasus-cms-remote-code-execution-via-extr…
disclosure@vulncheck.com
https://www.wisdom.com.au/web/pegasus-cms
disclosure@vulncheck.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-5624

PHP

5,3

CVE-2026-5620

PHP

5,3

CVE-2026-5615

PHP

5,3

CVE-2026-5606

PHP

5,3

CVE-2019-25685

PHP

8,7