Pachno 1.0.6 содержит уязвимость десериализации, которая позволяет неаутентифицированным злоумышленникам выполнять произвольный код, внедряя вредоносные сериализованные объекты в файлы кэша. Злоумышленники могут записывать полезные данные объектов PHP в доступные для записи файлы кэша с предсказуемыми именами в каталоге кэша, которые десериализуются во время загрузки платформы до того, как произойдет проверка аутентификации.
Показать оригинальное описание (EN)
Pachno 1.0.6 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary code by injecting malicious serialized objects into cache files. Attackers can write PHP object payloads to world-writable cache files with predictable names in the cache directory, which are unserialized during framework bootstrap before authentication checks occur.
Характеристики атаки
Последствия
Строка CVSS v4.0