Расширению не удается правильно определить разрешенные классы, используемые при десериализации метаданных сбоя транспорта. Злоумышленник может использовать это для выполнения ненадежного сериализованного кода. Обратите внимание, что активный эксплойт требует доступа на запись в каталог, настроенный в $GLOBALS['TYPO3_CONF_VARS']['MAIL']['transport_spool_filepath'].
Показать оригинальное описание (EN)
The extension fails to properly define allowed classes used when deserializing transport failure metadata. An attacker may exploit this to execute untrusted serialized code. Note that an active exploit requires write access to the directory configured at $GLOBALS['TYPO3_CONF_VARS']['MAIL']['transport_spool_filepath'].
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0