Плагин CraftCMS 3 vCard 1.0.0 содержит уязвимость десериализации, которая позволяет неаутентифицированным злоумышленникам выполнять произвольный PHP-код через созданную полезную нагрузку. Злоумышленники могут создать вредоносную сериализованную полезную нагрузку, которая запускает удаленное выполнение кода, используя функцию загрузки vCard плагина с помощью специально созданного запроса.
Показать оригинальное описание (EN)
CraftCMS 3 vCard Plugin 1.0.0 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary PHP code through a crafted payload. Attackers can generate a malicious serialized payload that triggers remote code execution by exploiting the plugin's vCard download functionality with a specially crafted request.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 5
https://craftcms.com/
disclosure@vulncheck.com
https://gitlab.com/wguest/craftcms-vcard-exploit
disclosure@vulncheck.com
https://plugins.craftcms.com/vcard
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/48492
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/craftcms-vcard-plugin-remote-code-execution
disclosure@vulncheck.com